Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Esta es documentación inédita para Admission Controller 1.34-dev.

Protección de la seguridad

SUSE Security Admission Controller se esfuerza por ser seguro con poca configuración. En esta sección y sus subpáginas, puedes encontrar consejos de protección (con sus compensaciones) para asegurar Admission Controller en sí mismo.

Por favor, consulta el modelo de amenaza para más información.

`kubewarden-defaults` gráfico de Helm

Los operadores pueden obtener una ampliación segura instalando Admission Controller gráficos de Helm. Se recomienda instalar kubewarden-defaults gráfico de Helm y habilitar sus políticas recomendadas con:

helm install --wait -n kubewarden kubewarden-defaults kubewarden/kubewarden-defaults \
  --set recommendedPolicies.enabled=True \
  --set recommendedPolicies.defaultPolicyMode=protect

Esto proporciona un PolicyServer por defecto y políticas por defecto, en modo de protección, para asegurar que la pila Admission Controller esté a salvo de otras cargas de trabajo.

Verificando Admission Controller artefactos

Consulta el tutorial de Verificando Admission Controller.

RBAC

Admission Controller describe las configuraciones de RBAC en diferentes secciones de Explicaciones. Los usuarios pueden ajustar los permisos necesarios para la característica de Escáner de Auditoría, así como la Cuenta de Servicio por Política Server para la característica consciente del contexto.

Para ver todos los Roles:

kubectl get clusterroles,roles -A | grep kubewarden

Permisos por directiva

Para directivas conscientes del contexto, los operadores especifican permisos detallados por directiva bajo su spec.contextAwareResources, y estos funcionan en conjunto con la Cuenta de Servicio configurada para el Policy Server donde se ejecuta la directiva.

Cobertura de carga de trabajo

Por defecto, Admission Controller excluye espacios de nombres específicos de la cobertura de Admission Controller. Esto se hace para simplificar el uso por primera vez y la interoperabilidad con otras cargas de trabajo.

Los operadores conscientes de la seguridad pueden ajustar la lista de espacios de nombres a través del valor .global.skipNamespaces tanto para el gráfico de Helm kubewarden-controller como para el gráfico de Helm kubewarden-defaults.

Admisión de Seguridad de Pods

Desde la versión 1.23, la pila de Admission Controller puede ejecutarse en un espacio de nombres donde se aplican los estándares de seguridad de Pods [`restricted``Pod Security Standards, con las mejores prácticas actuales de protección de Pods.

Para ello, necesitas añadir la etiqueta pod-security.kubernetes.io/enforce:restricted al Admission Controller espacio de nombres de ampliación.

kubectl label namespace kubewarden pod-security.kubernetes.io/enforce=restricted --overwrite

Consulta documentación oficial de la Admisión de Seguridad de Pods de Kubernetes para más detalles.

SecurityContexts

El kubewarden-controller gráfico de Helm configura los Contextos de Seguridad y los expone en su values.yaml.

El kubewarden-defaults gráfico de Helm permite configurar el Servidor de Políticas por defecto .spec.securityContexts bajo .Values.policyServer.securityContexts.

Para los Servidores de Políticas gestionados por operadores, puedes configurarlos a través de su spec.securityContexts.