Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Esta é uma documentação não divulgada para Admission Controller 1.34-dev.

Proteção

SUSE Security Admission Controller se esforça para ser seguro com pouca configuração. Nesta seção e suas subpáginas, você pode encontrar dicas de proteção (com suas compensações) para proteger Admission Controller em si.

Por favor, consulte o modelo de ameaça para mais informações.

`kubewarden-defaults` Gráfico Helm

Os operadores podem obter uma implantação segura instalando todos os Admission Controller gráficos Helm. É recomendado instalar o kubewarden-defaults gráfico Helm e habilitar suas políticas recomendadas com:

helm install --wait -n kubewarden kubewarden-defaults kubewarden/kubewarden-defaults \
  --set recommendedPolicies.enabled=True \
  --set recommendedPolicies.defaultPolicyMode=protect

Isso fornece um PolicyServer padrão e políticas padrão, em modo de proteção, para garantir que a pilha Admission Controller esteja segura de outras cargas de trabalho.

Verificando Admission Controller artefatos

Consulte o tutorial Verificando Admission Controller.

RBAC

Admission Controller descreve configurações de RBAC em diferentes seções Explicações. Os usuários podem ajustar as permissões necessárias para o recurso Scanner de Auditoria, bem como a Conta de Serviço por Policy Server para o recurso sensível ao contexto.

Para visualizar todos os Papéis:

kubectl get clusterroles,roles -A | grep kubewarden

Permissões por política

Para políticas sensíveis ao contexto, os operadores especificam permissões detalhadas por política sob seu spec.contextAwareResources, e essas funcionam em conjunto com a Conta de Serviço configurada para o Policy Server onde a política é executada.

Cobertura de carga de trabalho

Por padrão, Admission Controller exclui namespaces específicos da cobertura de Admission Controller. Isso é feito para simplificar o uso pela primeira vez e a interoperabilidade com outras cargas de trabalho.

Operadores preocupados com segurança podem ajustar essa lista de namespaces através do valor de .global.skipNamespaces tanto para os gráficos Helm kubewarden-controller quanto kubewarden-defaults.

Pod Security Admission

A partir da versão 1.23, a pilha do Admission Controller é capaz de rodar em um namespace onde restricted Padrões de Segurança de Pod estão em vigor, com as melhores práticas atuais de proteção de Pod.

Para fazer isso, você precisa adicionar o rótulo pod-security.kubernetes.io/enforce: restrito ao namespace de implantação Admission Controller.

kubectl label namespace kubewarden pod-security.kubernetes.io/enforce=restricted --overwrite

Veja a documentação oficial do Admission de Segurança de Pod do Kubernetes para mais detalhes.

SecurityContexts

kubewarden-controller O gráfico Helm configura os SecurityContexts e os expõe em sua values.yaml.

kubewarden-defaults O gráfico Helm permite configurar o Policy Server padrão .spec.securityContexts sob .Values.policyServer.securityContexts.

Para Policy Servers gerenciados por operadores, você pode configurá-los através de seu spec.securityContexts.