La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare una policy di sicurezza pod personalizzata

05/23/2023 Collaboratori

PDF

Astra Control deve creare e gestire i pod Kubernetes sui cluster gestiti. Se il cluster utilizza una policy di sicurezza del pod restrittiva che non consente la creazione di pod con privilegi o l’esecuzione di processi all’interno dei container del pod come utente root, è necessario creare una policy di sicurezza del pod meno restrittiva per consentire ad Astra Control di creare e gestire questi pod.

Fasi

Creare un criterio di protezione pod per il cluster meno restrittivo di quello predefinito e salvarlo in un file. Ad esempio:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: astracontrol
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
  privileged: true
  allowPrivilegeEscalation: true
  allowedCapabilities:
  - '*'
  volumes:
  - '*'
  hostNetwork: true
  hostPorts:
  - min: 0
    max: 65535
  hostIPC: true
  hostPID: true
  runAsUser:
    rule: 'RunAsAny'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

Creare un nuovo ruolo per la policy di sicurezza del pod.

kubectl-admin create role psp:astracontrol \
    --verb=use \
    --resource=podsecuritypolicy \
    --resource-name=astracontrol

Associare il nuovo ruolo all’account del servizio.

kubectl-admin create rolebinding default:psp:astracontrol \
    --role=psp:astracontrol \
    --serviceaccount=astracontrol-service-account:default

Creare una policy di sicurezza pod personalizzata

Creating your file...