K8S的PodSecurityPolicyde机制

在K8S中，PodSecurityPolicy机制是什么？

在Kubernetes（K8S）中，PodSecurityPolicy（PSP） 是一种集群级别的安全控制机制，用于定义Pod创建时必须遵守的安全规则。简单来说，它像是一个“安检员”，确保所有新创建的Pod符合管理员设定的安全标准，从而降低安全风险。

---

PSP的核心作用

PSP通过以下方式保护集群安全：

1. 限制特权容器：禁止容器以特权模式（privileged: true）运行，防止容器直接操作宿主机内核。
2. 控制资源访问：限制Pod使用宿主机的网络、进程命名空间（如hostNetwork、hostPID），避免容器逃逸攻击。
3. 用户权限管控：强制容器以非root用户运行（runAsNonRoot: true），并限制用户ID范围。
4. 存储卷限制：仅允许使用特定类型的存储卷（如emptyDir），阻止挂载敏感宿主机路径。
5. Linux能力限制：限制容器能使用的系统调用（如CAP_SYS_ADMIN）。

---

PSP的工作原理

1. 准入控制器：Kubernetes的kube-apiserver组件在创建Pod时，会调用PSP准入控制器检查Pod配置是否符合策略。
2. 策略匹配：PSP策略需要与RBAC结合，通过角色绑定决定哪些用户或ServiceAccount能使用哪些策略。
3. 拒绝或修改请求：如果Pod不满足任何PSP规则，则会被拒绝创建；某些情况下PSP还会自动填充安全字段（如默认用户ID）。

---

弃用与替代方案

自Kubernetes 1.21起，PSP已被标记为弃用，并在1.25版本中彻底移除。主要原因包括：

• 配置复杂：PSP需要同时管理策略和RBAC授权，容易出错。
• 粒度问题：策略是集群级别的，难以针对不同Namespace设置不同规则。

替代方案推荐：

1. Pod Security Admission（PSA）：Kubernetes内置的替代方案，通过Namespace标签（如pod-security.kubernetes.io/enforce: baseline）设置安全等级（Baseline/Restricted）。
2. OPA/Gatekeeper：使用第三方策略引擎实现更灵活的安全控制。

---

实际配置示例（旧版本参考）

虽然PSP已弃用，但在旧集群中仍可能见到类似配置：

# 定义PSP：禁止特权容器
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false  # 禁止特权模式
  runAsUser:
    rule: MustRunAsNonRoot  # 必须非root用户
  volumes:
  - emptyDir  # 仅允许使用emptyDir卷

启用PSP需修改kube-apiserver配置：

- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy

---

迁移建议

1. 评估现有策略：列出所有PSP规则，对应到Pod Security Standards的Baseline或Restricted等级。
2. 逐步替换：使用PSA的Namespace标签替代PSP，例如：

   apiVersion: v1
   kind: Namespace
   metadata:
     labels:
       pod-security.kubernetes.io/enforce: baseline
   

3. 结合工具：利用kubectl label命令批量更新Namespace策略，或采用Gatekeeper增强灵活性。

---

总结

PodSecurityPolicy曾是Kubernetes中重要的安全机制，但因其复杂性和局限性已被淘汰。对于新集群，应优先使用Pod Security Admission或第三方策略引擎，既能简化配置，又能实现更精细的安全管控。对于历史遗留系统，建议尽快迁移以避免升级后的兼容性问题。