这是尚未发布的文档。 SUSE® Virtual Clusters v1.2.0 (Dev).

保护共享模式虚拟集群

默认情况下,SUSE Virtual Clusters 在共享模式下允许特权 Pod,这可能导致主机级访问。为了保护您的环境,您必须强制执行 Pod 安全标准 (PSS)

以下指南解释了如何使用 K3k 的 VirtualClusterPolicy 机制来强制执行此项。

创建虚拟集群策略

定义一个策略以限制 Pod 能力。

推荐使用 基线 控制文件,以防止特权升级而不破坏大多数工作负载。

apiVersion: k3k.io/v1beta1
kind: VirtualClusterPolicy
metadata:
  name: baseline-psa-policy
spec:
  podSecurityAdmissionLevel: baseline

支持的级别

  • 特权:不受限访问(默认)。

  • 基线:防止已知的特权升级。

  • 受限:最大限度的安全强化(最高安全性,较低兼容性)。

有关更多信息,请参见 Pod 安全标准

应用策略

使用 Rancher UI 或 kubectl 将策略附加到您的虚拟集群部署的名称空间。

kubectl label namespace <namespace-name> policy.k3k.io/policy-name="baseline-psa-policy"

校验

K3k 操作员会自动更新目标名称空间,以强制执行所选的 Pod 安全标准 (PSS)。

示例:已强制执行策略的名称空间示例:

apiVersion: v1
kind: Namespace
metadata:
  name: prod-k3kcluster-ns
  labels:
    pod-security.kubernetes.io/enforce: baseline
    policy.k3k.io/policy-name: baseline-psa-policy

任何违反此策略的虚拟集群中的 Pod(例如,请求 privileged: true)将被拒绝。