我們正在嘗試用使用 Gatekeeper 的 OPA 策略替換 Kubernetes 中現有的 PSP。我正在使用 Gatekeeper https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/pod-security-policy提供的默認模板并定義了相應的約束。
但是,我無法弄清楚如何將策略應用于特定的ServiceAccount. 例如。如何allow-privilege-escalation僅為名為 awsnode 的 ServiceAccount 定義策略?
在 PSP 中,我為 required 創建 Role/ClusterRolepodsecuritypolicies并創建 RoleBinding 以允許 awsnode ServiceAccount 使用所需的 PSP。我很難理解如何使用 Gatekeeper OPA 策略來實作相同的目標?
謝謝你。
uj5u.com熱心網友回復:
顯然 PSP 和 Gatekeeper OPA 策略旨在實作不同級別的 pod 安全。這是 AWS 支持人員對上述問題的回復。
Gatekeeper 約束模板(以及從模板定義的相應約束 CRD)適用于更大范圍的 Kubernetes 資源,而不僅僅是 pod。Gatekeeper 擴展了 RBAC 在此階段無法提供的附加功能。Gatekeeper 本身不能由 RBAC 管理(通過使用動詞來限制對 Gatekeeper 約束的訪問),因為不存在用于 Gatekeeper 策略約束的 RBAC 資源關鍵字(至少在撰寫本文時)。如果集群在 1.22 或更高版本上,PodSecurity Admission Controller 可能是尋找 PSP 替代品的人的一個選擇,而 PSP 需要由 RBAC 控制。
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/475675.html
標籤:安全 Kubernetes 网络安全 钥匙斗篷守门人 豆荚安全政策
上一篇:Docker基本命令