|
Esta es documentación inédita para SUSE® Virtual Clusters v1.2.0 (Dev). |
Asegurando Clústeres Virtuales en Modo Compartido
Por defecto, SUSE Virtual Clusters en modo compartido permite pods privilegiados, lo que puede llevar a un acceso a nivel de host. Para asegurar tu entorno, debes hacer cumplir el Estándar de Seguridad de Pods (PSS).
La siguiente guía explica cómo hacer cumplir esto utilizando el mecanismo VirtualClusterPolicy de K3k.
Crea una Directiva de Clúster Virtual
Define una directiva para restringir las capacidades de los pods.
|
Se recomienda el perfil Base para prevenir la escalada de privilegios sin romper la mayoría de las cargas de trabajo. |
apiVersion: k3k.io/v1beta1 kind: VirtualClusterPolicy metadata: name: baseline-psa-policy spec: podSecurityAdmissionLevel: baseline
Niveles Soportados
-
privilegiado: Acceso no restringido (Por defecto).
-
Base: Previene escaladas de privilegios conocidas.
-
restringido: Protección máxima (mayor seguridad, menor compatibilidad).
Consulta Estándares de Seguridad de Pods para más información.
Aplica la Directiva
Adjunta la directiva a los espacio(s) de nombres donde se despliegan tus clústeres virtuales utilizando la interfaz de usuario de Rancher o kubectl:
kubectl label namespace <namespace-name> policy.k3k.io/policy-name="baseline-psa-policy"
Verificación
El operador K3k actualiza automáticamente el/los espacio(s) de nombres objetivo para hacer cumplir el Estándar de Seguridad de Pods (PSS) seleccionado.
Ejemplo de un espacio de nombres aplicado:
apiVersion: v1
kind: Namespace
metadata:
name: prod-k3kcluster-ns
labels:
pod-security.kubernetes.io/enforce: baseline
policy.k3k.io/policy-name: baseline-psa-policy
Cualquier pod dentro del clúster virtual que viole esta política (por ejemplo, solicitando privileged: true) es rechazado.