|
Dies ist eine unveröffentlichte Dokumentation für SUSE® Virtual Clusters v1.2.0 (Dev). |
Sichern von gemeinsam genutzten virtuellen Clustern
Standardmäßig erlaubt SUSE Virtual Clusters im gemeinsamen Modus privilegierte Pods, was zu einem Zugriff auf Host-Ebene führen kann. Um Ihre Umgebung zu sichern, müssen Sie Pod-Sicherheitsstandard (PSS) durchsetzen.
Der folgende Leitfaden erklärt, wie Sie dies mit dem VirtualClusterPolicy Mechanismus von K3k durchsetzen können.
Erstellen Sie eine VirtualClusterPolicy
Definieren Sie eine Richtlinie zur Einschränkung der Pod-Funktionen.
|
Das Baseline-Profil wird empfohlen, um Privilegieneskalationen zu verhindern, ohne die meisten Workloads zu beeinträchtigen. |
apiVersion: k3k.io/v1beta1 kind: VirtualClusterPolicy metadata: name: baseline-psa-policy spec: podSecurityAdmissionLevel: baseline
Unterstützte Ebenen
-
privilegiert: Uneingeschränkter Zugriff (Standard).
-
baseline-Profil: Verhindert bekannte Privilegieneskalationen.
-
eingeschränkt: Maximale Härtung (höchste Sicherheit, geringere Kompatibilität).
Siehe Pod-Sicherheitsstandards für weitere Informationen.
Wenden Sie die Richtlinie an
Fügen Sie die Richtlinie den Namespace(s) hinzu, in denen Ihre virtuellen Cluster bereitgestellt sind, über die Rancher-Benutzeroberfläche oder kubectl:
kubectl label namespace <namespace-name> policy.k3k.io/policy-name="baseline-psa-policy"
Überprüfung
Der K3k-Operator aktualisiert automatisch die Ziel-Namespace(s), um den ausgewählten Pod-Sicherheitsstandard (PSS) durchzusetzen.
Beispiel eines durchgesetzten Namespace:
apiVersion: v1
kind: Namespace
metadata:
name: prod-k3kcluster-ns
labels:
pod-security.kubernetes.io/enforce: baseline
policy.k3k.io/policy-name: baseline-psa-policy
Jeder Pod innerhalb des virtuellen Clusters, der diese Richtlinie verletzt (zum Beispiel, wenn privileged: true angefordert wird), wird abgelehnt.