Esta é uma documentação não divulgada para SUSE® Virtual Clusters v1.2.0 (Dev).

Protegendo Clusters Virtuais em Modo Compartilhado

Por padrão, SUSE Virtual Clusters no modo compartilhado permite pods privilegiados, o que pode levar ao acesso em nível de host. Para garantir a segurança do seu ambiente, você deve impor Padrão de Segurança de Pods (PSS).

O guia a seguir explica como impor isso usando o mecanismo VirtualClusterPolicy do K3k.

Crie uma VirtualClusterPolicy

Defina uma política para restringir as capacidades dos pods.

O perfil Baseline é recomendado para evitar a escalada de privilégios sem comprometer a maioria das cargas de trabalho.

apiVersion: k3k.io/v1beta1
kind: VirtualClusterPolicy
metadata:
  name: baseline-psa-policy
spec:
  podSecurityAdmissionLevel: baseline

Níveis Suportados

  • privilegiado: Acesso irrestrito (Padrão).

  • baseline: Previne escaladas de privilégios conhecidas.

  • restrito: Proteção máxima (maior segurança, menor compatibilidade).

Veja os Padrões de Segurança de Pods para mais informações.

Aplique a Política

Anexe a política ao(s) namespace(s) onde seus clusters virtuais estão implantados usando a interface do Rancher ou kubectl:

kubectl label namespace <namespace-name> policy.k3k.io/policy-name="baseline-psa-policy"

Verificação

O operador K3k atualiza automaticamente o(s) namespace(s) alvo para impor o Padrão de Segurança de Pods (PSS) selecionado.

Exemplo de um namespace com política imposta:

apiVersion: v1
kind: Namespace
metadata:
  name: prod-k3kcluster-ns
  labels:
    pod-security.kubernetes.io/enforce: baseline
    policy.k3k.io/policy-name: baseline-psa-policy

Qualquer pod dentro do cluster virtual que viole esta política (por exemplo, solicitando privileged: true) é rejeitado.