Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Sicurezza del pod

Collaboratori

Astra Control Center supporta la limitazione dei privilegi attraverso PSP (Pod Security policy) e PSA (pod Security ammission). Questi framework consentono di limitare gli utenti o i gruppi in grado di eseguire i container e i privilegi che possono avere.

Alcune distribuzioni di Kubernetes potrebbero avere una configurazione di sicurezza pod predefinita troppo restrittiva e causare problemi durante l'installazione di Astra Control Center.

È possibile utilizzare le informazioni e gli esempi inclusi qui per comprendere le modifiche alla sicurezza dei pod apportate da Astra Control Center e utilizzare un approccio alla sicurezza dei pod che fornisca la protezione necessaria senza interferire con le funzioni di Astra Control Center.

PSA applicati da Astra Control Center

Astra Control Center consente l'applicazione di un'ammissione di sicurezza pod aggiungendo la seguente etichetta allo spazio dei nomi in cui Astra è installato (netapp-acc o spazio dei nomi personalizzato) e gli spazi dei nomi creati per i backup.

pod-security.kubernetes.io/enforce: privileged

PSP installati da Astra Control Center

Quando si installa Astra Control Center su Kubernetes 1.23 o 1.24, durante l'installazione vengono create diverse policy di sicurezza del pod. Alcune di queste sono permanenti, alcune vengono create durante determinate operazioni e vengono rimosse una volta completata l'operazione. Astra Control Center non tenta di installare i PSP quando il cluster host esegue Kubernetes 1.25 o versioni successive, in quanto non sono supportati su queste versioni.

PSP creati durante l'installazione

Durante l'installazione di Astra Control Center, l'operatore di Astra Control Center installa una policy di sicurezza pod personalizzata, a. Role e a. RoleBinding Oggetto per supportare l'implementazione dei servizi Astra Control Center nello spazio dei nomi Astra Control Center.

I nuovi criteri e oggetti hanno i seguenti attributi:

kubectl get psp

NAME                           PRIV    CAPS          SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-deployment-psp    false                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                     CREATED AT
netapp-astra-deployment-role             2022-06-27T19:34:58Z

kubectl get rolebinding -n <namespace_name>

NAME                                     ROLE                                          AGE
netapp-astra-deployment-rb               Role/netapp-astra-deployment-role             32m

PSP creati durante le operazioni di backup

Durante le operazioni di backup, Astra Control Center crea una policy di sicurezza Pod dinamica, un ClusterRole e a. RoleBinding oggetto. Questi supportano il processo di backup, che avviene in uno spazio dei nomi separato.

I nuovi criteri e oggetti hanno i seguenti attributi:

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-backup            false   DAC_READ_SEARCH                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                  CREATED AT
netapp-astra-backup   2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                  ROLE                       AGE
netapp-astra-backup   Role/netapp-astra-backup   62s

PSP creati durante la gestione del cluster

Quando gestisci un cluster, Astra Control Center installa l'operatore di monitoraggio netapp nel cluster gestito. Questo operatore crea una policy di sicurezza pod, a. ClusterRole e a. RoleBinding Oggetto per implementare servizi di telemetria nello spazio dei nomi Astra Control Center.

I nuovi criteri e oggetti hanno i seguenti attributi:

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-monitoring-psp-nkmo     true    AUDIT_WRITE,NET_ADMIN,NET_RAW   RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                           CREATED AT
netapp-monitoring-role-privileged              2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                                                  ROLE                                                AGE
netapp-monitoring-role-binding-privileged             Role/netapp-monitoring-role-privileged              2m5s