编辑“︁Kubernetes Pod安全策略”︁

= Kubernetes Pod安全策略 =

'''Pod安全策略（Pod Security Policies, PSP）'''是Kubernetes中用于控制Pod创建和运行的安全机制，通过定义一组规则来限制Pod的行为，从而增强集群的安全性。PSP可以防止用户运行特权容器、限制主机命名空间的使用、控制文件系统访问等。在Kubernetes 1.21版本后，PSP已被弃用，并逐步被[[Pod Security Admission]]取代，但在许多现有集群中仍广泛使用。

== 基本概念 ==

Pod安全策略是一种集群级别的资源，定义了Pod必须满足的条件才能被调度到节点上。管理员可以创建多个PSP，并通过RBAC（基于角色的访问控制）将其分配给不同的用户或服务账户。

=== 核心功能 ===
* '''特权模式限制'''：禁止或允许容器以特权模式运行。
* '''主机命名空间隔离'''：限制Pod访问主机网络、PID或IPC命名空间。
* '''文件系统限制'''：控制卷挂载、只读根文件系统等。
* '''用户和组ID控制'''：指定容器运行时的用户和组ID范围。
* '''能力（Capabilities）管理'''：限制容器可以使用的Linux内核能力。

== 配置示例 ==

以下是一个典型的Pod安全策略定义，限制Pod不能以特权模式运行，并强制使用只读根文件系统：

<syntaxhighlight lang="yaml">
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false
  allowPrivilegeEscalation: false
  requiredDropCapabilities:
    - ALL
  volumes:
    - 'configMap'
    - 'emptyDir'
    - 'secret'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  runAsUser:
    rule: 'MustRunAsNonRoot'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'MustRunAs'
    ranges:
      - min: 1
        max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
      - min: 1
        max: 65535
  readOnlyRootFilesystem: true
</syntaxhighlight>

=== 策略绑定 ===
创建PSP后，需要通过ClusterRole和ClusterRoleBinding将其绑定到用户或组：

<syntaxhighlight lang="yaml">
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: psp-restricted
rules:
- apiGroups: ['policy']
  resources: ['podsecuritypolicies']
  verbs:     ['use']
  resourceNames:
  - restricted-psp

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: psp-restricted-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: psp-restricted
subjects:
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:authenticated
</syntaxhighlight>

== 实际应用案例 ==

=== 场景：防止特权容器 ===
在开发环境中，团队可能无意中部署了需要特权模式的Pod，这会带来安全风险。通过以下PSP可以阻止此类部署：

<syntaxhighlight lang="yaml">
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: no-privilege
spec:
  privileged: false
  allowPrivilegeEscalation: false
</syntaxhighlight>

当用户尝试创建特权Pod时，将收到错误：
<syntaxhighlight lang="bash">
Error creating: pods "privileged-pod" is forbidden: unable to validate against any pod security policy: [spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]
</syntaxhighlight>

=== 场景：限制主机网络访问 ===
以下PSP阻止Pod使用主机网络，防止网络隔离被绕过：

<syntaxhighlight lang="yaml">
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: no-host-network
spec:
  hostNetwork: false
  hostPorts:
    - min: 1
      max: 65535
</syntaxhighlight>

== 迁移到Pod Security Admission ==

由于PSP已被弃用，Kubernetes推荐使用Pod Security Admission（PSA）作为替代。PSA通过准入控制器实现，支持三种模式：
* '''enforce'''：拒绝不符合策略的Pod
* '''audit'''：允许Pod创建但记录警告
* '''warn'''：向用户显示警告但允许创建

示例PSA配置：
<syntaxhighlight lang="yaml">
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
  configuration:
    apiVersion: pod-security.admission.config.k8s.io/v1beta1
    kind: PodSecurityConfiguration
    defaults:
      enforce: "restricted"
      enforce-version: "latest"
    exemptions:
      usernames: []
      runtimeClasses: []
      namespaces: ["kube-system"]
</syntaxhighlight>

== 最佳实践 ==
1. 从最严格的策略开始，逐步放宽限制
2. 为不同团队或命名空间分配不同的PSP
3. 定期审计PSP使用情况
4. 计划迁移到Pod Security Admission
5. 结合网络策略（NetworkPolicy）实现深度防御

== 限制与注意事项 ==
* PSP需要启用PodSecurityPolicy准入控制器
* 策略冲突时，Pod创建会被拒绝
* 某些功能（如特定卷类型）可能需要放宽策略
* PSP不影响已经运行的Pod

== 参见 ==
* [[Kubernetes RBAC]]
* [[Kubernetes网络策略]]
* [[Pod Security Admission]]

通过合理配置Pod安全策略，可以显著提高Kubernetes集群的安全性，防止容器逃逸、权限提升等攻击。尽管PSP已被弃用，但其设计理念仍值得学习，并应用于新的安全机制中。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes安全]]