Sicurezza del pod
Astra Control Center supporta la limitazione dei privilegi attraverso PSP (Pod Security policy) e PSA (pod Security ammission). Questi framework consentono di limitare gli utenti o i gruppi in grado di eseguire i container e i privilegi che possono avere.
Alcune distribuzioni di Kubernetes potrebbero avere una configurazione di sicurezza pod predefinita troppo restrittiva e causare problemi durante l'installazione di Astra Control Center.
È possibile utilizzare le informazioni e gli esempi inclusi qui per comprendere le modifiche alla sicurezza dei pod apportate da Astra Control Center e utilizzare un approccio alla sicurezza dei pod che fornisca la protezione necessaria senza interferire con le funzioni di Astra Control Center.
PSA applicati da Astra Control Center
Astra Control Center consente l'applicazione di un'ammissione di sicurezza pod aggiungendo la seguente etichetta allo spazio dei nomi in cui Astra è installato (netapp-acc o spazio dei nomi personalizzato) e gli spazi dei nomi creati per i backup.
pod-security.kubernetes.io/enforce: privileged
PSP installati da Astra Control Center
Quando si installa Astra Control Center su Kubernetes 1.23 o 1.24, durante l'installazione vengono create diverse policy di sicurezza del pod. Alcune di queste sono permanenti, alcune vengono create durante determinate operazioni e vengono rimosse una volta completata l'operazione. Astra Control Center non tenta di installare i PSP quando il cluster host esegue Kubernetes 1.25 o versioni successive, in quanto non sono supportati su queste versioni.
PSP creati durante l'installazione
Durante l'installazione di Astra Control Center, l'operatore di Astra Control Center installa una policy di sicurezza pod personalizzata, a. Role
e a. RoleBinding
Oggetto per supportare l'implementazione dei servizi Astra Control Center nello spazio dei nomi Astra Control Center.
I nuovi criteri e oggetti hanno i seguenti attributi:
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-deployment-psp false RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-deployment-role 2022-06-27T19:34:58Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-deployment-rb Role/netapp-astra-deployment-role 32m
PSP creati durante le operazioni di backup
Durante le operazioni di backup, Astra Control Center crea una policy di sicurezza Pod dinamica, un ClusterRole
e a. RoleBinding
oggetto. Questi supportano il processo di backup, che avviene in uno spazio dei nomi separato.
I nuovi criteri e oggetti hanno i seguenti attributi:
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-backup false DAC_READ_SEARCH RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-backup 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-backup Role/netapp-astra-backup 62s
PSP creati durante la gestione del cluster
Quando gestisci un cluster, Astra Control Center installa l'operatore di monitoraggio netapp nel cluster gestito. Questo operatore crea una policy di sicurezza pod, a. ClusterRole
e a. RoleBinding
Oggetto per implementare servizi di telemetria nello spazio dei nomi Astra Control Center.
I nuovi criteri e oggetti hanno i seguenti attributi:
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-monitoring-psp-nkmo true AUDIT_WRITE,NET_ADMIN,NET_RAW RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-monitoring-role-privileged 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-monitoring-role-binding-privileged Role/netapp-monitoring-role-privileged 2m5s