|
这是尚未发布的文档。 SUSE® Virtual Clusters v1.2.0 (Dev). |
保护共享模式虚拟集群
默认情况下,SUSE Virtual Clusters 在共享模式下允许特权 Pod,这可能导致主机级访问。为了保护您的环境,您必须强制执行 Pod 安全标准 (PSS)。
以下指南解释了如何使用 K3k 的 VirtualClusterPolicy 机制来强制执行此项。
创建虚拟集群策略
定义一个策略以限制 Pod 能力。
|
推荐使用 基线 控制文件,以防止特权升级而不破坏大多数工作负载。 |
apiVersion: k3k.io/v1beta1 kind: VirtualClusterPolicy metadata: name: baseline-psa-policy spec: podSecurityAdmissionLevel: baseline
支持的级别
-
特权:不受限访问(默认)。
-
基线:防止已知的特权升级。
-
受限:最大限度的安全强化(最高安全性,较低兼容性)。
有关更多信息,请参见 Pod 安全标准。