将 PodSecurityPolicies 映射到 Pod 安全标准
下表列出了 PodSecurityPolicy 对象上的配置参数,该字段是否会改变和/或验证 Pod,以及配置值如何映射到 Pod 安全标准。
对于每个适用的参数,都列出了 基线 和 限制 配置文件的允许值。超出这些配置文件的允许值的内容将属于 特权 配置文件。“无意见”表示所有值都允许在所有 Pod 安全标准下。
有关逐步迁移指南,请参阅 从 PodSecurityPolicy 迁移到内置 PodSecurity 准入控制器。
PodSecurityPolicy 规范
此表中列出的字段是 PodSecurityPolicySpec 的一部分,该部分在 .spec 字段路径下指定。
PodSecurityPolicySpec | 类型 | Pod 安全标准等效项 |
|---|---|---|
privileged | 验证 | 基线 & 限制: false / 未定义 / nil |
defaultAddCapabilities | 改变 & 验证 | 要求与下面的 allowedCapabilities 匹配。 |
allowedCapabilities | 验证 | 基线: 子集
限制: 空 / 未定义 / nil 或仅包含 |
requiredDropCapabilities | 改变 & 验证 | 基线: 无意见 限制: 必须包含 |
volumes | 验证 | 基线: 除了
限制: 子集
|
hostNetwork | 验证 | 基线 & 限制: false / 未定义 / nil |
hostPorts | 验证 | 基线 & 限制: 未定义 / nil / 空 |
hostPID | 验证 | 基线 & 限制: false / 未定义 / nil |
hostIPC | 验证 | 基线 & 限制: false / 未定义 / nil |
seLinux | 改变 & 验证 | 基线 & 限制:
|
runAsUser | 改变 & 验证 | 基线: 任意值 限制: |
runAsGroup | 改变 (MustRunAs) & 验证 | 无意见 |
supplementalGroups | 改变 & 验证 | 无意见 |
fsGroup | 改变 & 验证 | 无意见 |
readOnlyRootFilesystem | 改变 & 验证 | 无意见 |
defaultAllowPrivilegeEscalation | 改变 | 无意见 (非验证) |
allowPrivilegeEscalation | 改变 & 验证 | 仅当设置为 基线: 无意见 限制: |
allowedHostPaths | 验证 | 无意见 (volumes 优先) |
allowedFlexVolumes | 验证 | 无意见 (volumes 优先) |
allowedCSIDrivers | 验证 | 无意见 (volumes 优先) |
allowedUnsafeSysctls | 验证 | 基线 & 限制: 未定义 / nil / 空 |
forbiddenSysctls | 验证 | 无意见 |
allowedProcMountTypes(alpha 功能) | 验证 | 基线 & 限制: ["Default"] 或未定义 / nil / 空 |
runtimeClass .defaultRuntimeClassName | 改变 | 无意见 |
runtimeClass .allowedRuntimeClassNames | 验证 | 无意见 |
PodSecurityPolicy 注解
此表中列出的 注解 可以在 PodSecurityPolicy 对象的 .metadata.annotations 下指定。
PSP 注解 | 类型 | Pod 安全标准等效项 |
|---|---|---|
seccomp.security.alpha.kubernetes.io/defaultProfileName | 改变 | 无意见 |
seccomp.security.alpha.kubernetes.io/allowedProfileNames | 验证 | 基线: 限制:
|
apparmor.security.beta.kubernetes.io/defaultProfileName | 改变 | 无意见 |
apparmor.security.beta.kubernetes.io/allowedProfileNames | 验证 | 基线: 限制:
|
上次修改时间:2024 年 7 月 23 日下午 12:19 PST:PSS:将 container_engine_t 添加到允许的 seLinux 类型列表中 (06aff012a2)