将 PodSecurityPolicy 映射到 Pod 安全标准

下表列举了 PodSecurityPolicy 对象上的配置参数，说明了字段是否修改和/或验证 Pod，以及配置值如何映射到 Pod 安全标准。

对于每个适用参数，都列出了 Baseline 和 Restricted 配置文件的允许值。超出这些配置文件允许值的任何配置都将属于 Privileged 配置文件。“无意见”表示在所有 Pod 安全标准下都允许所有值。

有关分步迁移指南，请参阅从 PodSecurityPolicy 迁移到内置 PodSecurity 准入控制器。

PodSecurityPolicy Spec

此表中列出的字段是 PodSecurityPolicySpec 的一部分，在 .spec 字段路径下指定。

将 PodSecurityPolicySpec 字段映射到 Pod 安全标准
`PodSecurityPolicySpec`	类型	Pod 安全标准等效项
`privileged`	验证	Baseline & Restricted：`false` / 未定义 / nil
`defaultAddCapabilities`	修改和验证	要求与下面的 `allowedCapabilities` 匹配。
`allowedCapabilities`	验证	Baseline：子集 `AUDIT_WRITE` `CHOWN` `DAC_OVERRIDE` `FOWNER` `FSETID` `KILL` `MKNOD` `NET_BIND_SERVICE` `SETFCAP` `SETGID` `SETPCAP` `SETUID` `SYS_CHROOT` Restricted：空 / 未定义 / nil 或仅包含 `NET_BIND_SERVICE` 的列表
`requiredDropCapabilities`	修改和验证	Baseline：无意见 Restricted：必须包含 `ALL`
`volumes`	验证	Baseline：除以下内容外的任何项 `hostPath` `` Restricted*：子集 `configMap` `csi` `downwardAPI` `emptyDir` `ephemeral` `persistentVolumeClaim` `projected` `secret`
`hostNetwork`	验证	Baseline & Restricted：`false` / 未定义 / nil
`hostPorts`	验证	Baseline & Restricted：未定义 / nil / 空
`hostPID`	验证	Baseline & Restricted：`false` / 未定义 / nil
`hostIPC`	验证	Baseline & Restricted：`false` / 未定义 / nil
`seLinux`	修改和验证	Baseline & Restricted：`seLinux.rule` 为 `MustRunAs`，并带有以下 `options` `user` 未设置 (`""` / 未定义 / nil) `role` 未设置 (`""` / 未定义 / nil) `type` 未设置或为以下之一：`container_t, container_init_t, container_kvm_t, container_engine_t` `level` 为任何值
`runAsUser`	修改和验证	Baseline：任何值 Restricted：`rule` 为 `MustRunAsNonRoot`
`runAsGroup`	修改 (MustRunAs) 和验证	无意见
`supplementalGroups`	修改和验证	无意见
`fsGroup`	修改和验证	无意见
`readOnlyRootFilesystem`	修改和验证	无意见
`defaultAllowPrivilegeEscalation`	修改	无意见（非验证性）
`allowPrivilegeEscalation`	修改和验证	仅在设置为 `false` 时修改 Baseline：无意见 Restricted：`false`
`allowedHostPaths`	验证	无意见（volumes 优先）
`allowedFlexVolumes`	验证	无意见（volumes 优先）
`allowedCSIDrivers`	验证	无意见（volumes 优先）
`allowedUnsafeSysctls`	验证	Baseline & Restricted：未定义 / nil / 空
`forbiddenSysctls`	验证	无意见
`allowedProcMountTypes` （Alpha 特性）	验证	Baseline & Restricted：`["Default"]` 或未定义 / nil / 空
`runtimeClass` `.defaultRuntimeClassName`	修改	无意见
`runtimeClass` `.allowedRuntimeClassNames`	验证	无意见

PodSecurityPolicy 注解

此表中列出的注解可以在 PodSecurityPolicy 对象的 .metadata.annotations 下指定。

将 PodSecurityPolicy 注解映射到 Pod 安全标准
`PSP 注解`	类型	Pod 安全标准等效项
`seccomp.security.alpha.kubernetes.io` `/defaultProfileName`	修改	无意见
`seccomp.security.alpha.kubernetes.io` `/allowedProfileNames`	验证	Baseline：`"runtime/default,"` （末尾逗号表示允许未设置） Restricted：`"runtime/default"` （无末尾逗号） `localhost/` 值在 Baseline 和 Restricted 中也都允许。*
`apparmor.security.beta.kubernetes.io` `/defaultProfileName`	修改	无意见
`apparmor.security.beta.kubernetes.io` `/allowedProfileNames`	验证	Baseline：`"runtime/default,"` （末尾逗号表示允许未设置） Restricted：`"runtime/default"` （无末尾逗号） `localhost/` 值在 Baseline 和 Restricted 中也都允许。*

最后修改时间 2024 年 7 月 23 日下午 12:19 (PST)：PSS: add container_engine_t to allowed list of selinux types (06aff012a2)

将 PodSecurityPolicy 映射到 Pod 安全标准

PodSecurityPolicy Spec

PodSecurityPolicy 注解

反馈