|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
将加固的自定义/导入集群升级到 Kubernetes v1.25
Kubernetes v1.25 改变了集群描述和执行安全策略的方式。从这个版本开始,https://kubernetes.io/docs/concepts/security/pod-security-policy/[Pod 安全策略 (PSP)]不再可用。Kubernetes v1.25 将它们替换为新的安全对象:Pod 安全标准 (PSS) 和 Pod 安全准入 (PSA)。
如果你具有自定义或导入的加固集群,你需要做好准备,确保将旧版本的 Kubernetes 顺利升级到 v1.25 或更高版本。
|
升级到 v1.25 后,添加必要的 Rancher 命名空间豁免。有关详细信息,请参阅 Pod 安全准入 (PSA) 配置模板。 |
将导入的加固集群升级到 Kubernetes v1.25 或更高版本
-
RKE2
-
K3s
在集群中的每个节点上执行以下操作:
-
将
rancher-psact.yaml保存到/etc/rancher/rke2中。 -
编辑 RKE2 配置文件:
-
将
profile字段更新为cis-1.23。 -
指定刚才添加的配置文件的路径:
pod-security-admission-config-file: /etc/rancher/rke2/rancher-psact.yaml。
-
在集群中的每个节点上执行以下操作:
遵循 K3s 将加固集群从 v1.24.x 升级到 v1.25.x的官方说明,但使用自定义Rancher PSA 配置模板,而不是 K3s 官方网站上提供的配置。
执行这些步骤后,你可以通过 Rancher UI 升级集群的 Kubernetes 版本:
-
在左上角,单击 ☰ > 集群管理。
-
在集群表中找到要更新的集群,点击 ⋮。
-
选择编辑配置。
-
在 Kubernetes 版本下拉菜单中,选择要使用的版本。
-
单击保存。
将自定义加固集群升级到 Kubernetes v1.25 或更高版本
-
RKE2
-
K3s
-
在左上角,单击 ☰ > 集群管理。
-
在集群表中找到要更新的集群,点击 ⋮。
-
选择编辑配置。
-
在menu:基本信息[安全]下的 CIS 配置文件下拉菜单中,选择
cis-1.23。 -
在 PSA 配置模板下拉菜单中,选择
rancher-restricted。 -
在 Kubernetes 版本下拉菜单中,选择要使用的版本。
-
单击保存。
-
在左上角,单击 ☰ > 集群管理。
-
在集群表中找到要更新的集群,点击 ⋮。
-
选择编辑 YAML。
-
从
kube-apiserver-arg.enable-admission-plugins中删除PodSecurityPolicy。 -
在
spec字段中,添加一行:defaultPodSecurityAdmissionConfigurationTemplateName: rancher-restricted -
将
kubernetesVersion更新为你选择的版本(v1.25 或更高版本)。