简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

POD安全性

提供者

Astra控制中心通过POD安全策略(PSP)和POD安全允许(PSA)支持权限限制。通过这些框架、您可以限制哪些用户或组能够运行容器以及这些容器可以具有哪些权限。

某些Kubernetes分发版的默认POD安全配置可能限制性过大、并在安装Astra Control Center时导致问题。

您可以使用此处提供的信息和示例来了解Astra控制中心所做的POD安全更改、并使用POD安全方法来提供所需的保护、而不会干扰Astra控制中心的功能。

由Astra控制中心强制实施的PSAS

在安装期间、Astra控制中心通过向添加以下标签来强制实施POD安全准入 netapp-acc 或自定义命名空间:

pod-security.kubernetes.io/enforce: privileged

由Astra控制中心安装的Psps

在Kubernetes 1.23或1.24上安装Astra Control Center时、会在安装期间创建多个POD安全策略。其中一些是永久性的、其中一些是在某些操作期间创建的、操作完成后会将其删除。当主机集群运行Kubernetes 1.25或更高版本时、Astra Control Center不会尝试安装PSP、因为这些版本不支持。

在安装期间创建的Psps

在安装Astra控制中心期间、Astra控制中心操作员会安装自定义POD安全策略A Role 对象和 RoleBinding 用于支持在Astra控制中心命名空间中部署Astra控制中心服务的对象。

新策略和对象具有以下属性:

kubectl get psp

NAME                           PRIV    CAPS          SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-deployment-psp    false                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                     CREATED AT
netapp-astra-deployment-role             2022-06-27T19:34:58Z

kubectl get rolebinding -n <namespace_name>

NAME                                     ROLE                                          AGE
netapp-astra-deployment-rb               Role/netapp-astra-deployment-role             32m

备份操作期间创建的Psps

在备份操作期间、Astra控制中心会创建一个动态POD安全策略、即 ClusterRole 对象和 RoleBinding 对象。它们支持备份过程、该过程会在单独的命名空间中进行。

新策略和对象具有以下属性:

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-backup            false   DAC_READ_SEARCH                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                  CREATED AT
netapp-astra-backup   2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                  ROLE                       AGE
netapp-astra-backup   Role/netapp-astra-backup   62s

在集群管理期间创建的Psps

管理集群时、Astra控制中心会在受管集群中安装NetApp监控操作员。此运算符将创建一个POD安全策略、即 ClusterRole 对象和 RoleBinding 用于在Astra控制中心命名空间中部署遥测服务的对象。

新策略和对象具有以下属性:

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-monitoring-psp-nkmo     true    AUDIT_WRITE,NET_ADMIN,NET_RAW   RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                           CREATED AT
netapp-monitoring-role-privileged              2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                                                  ROLE                                                AGE
netapp-monitoring-role-binding-privileged             Role/netapp-monitoring-role-privileged              2m5s