将 PodSecurityPolicies 映射到 Pod 安全标准
下表列出了 PodSecurityPolicy 对象上的配置参数、字段是否会修改和/或验证 pod 以及配置值如何映射到 Pod 安全标准。
对于每个适用的参数,都会列出 基线 和 受限 配置文件中允许的值。这些配置文件中允许的值以外的任何内容都将属于 特权 配置文件。 “无意见”表示所有值在所有 Pod 安全标准下都是允许的。
有关分步迁移指南,请参见 从 PodSecurityPolicy 迁移到内置 PodSecurity Admission Controller。
PodSecurityPolicy Spec
此表中列出的字段是 PodSecurityPolicySpec 的一部分,该字段在 .spec 字段路径下指定。
PodSecurityPolicySpec | 类型 | 等效的 Pod 安全标准 |
|---|---|---|
privileged | 验证 | 基线和受限:false / 未定义 / 为空 |
defaultAddCapabilities | 修改和验证 | 要求与下面的 allowedCapabilities 匹配。 |
allowedCapabilities | 验证 | 基线:的子集
受限:为空 / 未定义 / 为空或仅包含 |
requiredDropCapabilities | 修改和验证 | 基线:无意见 受限:必须包含 |
volumes | 验证 | 基线:除了
受限:的子集
|
hostNetwork | 验证 | 基线和受限:false / 未定义 / 为空 |
hostPorts | 验证 | 基线和受限:未定义 / 为空 / 为空 |
hostPID | 验证 | 基线和受限:false / 未定义 / 为空 |
hostIPC | 验证 | 基线和受限:false / 未定义 / 为空 |
seLinux | 修改和验证 | 基线和受限:
|
runAsUser | 修改和验证 | 基线:任何值 受限: |
runAsGroup | 修改(MustRunAs)和验证 | 无意见 |
supplementalGroups | 修改和验证 | 无意见 |
fsGroup | 修改和验证 | 无意见 |
readOnlyRootFilesystem | 修改和验证 | 无意见 |
defaultAllowPrivilegeEscalation | 修改 | 无意见(非验证) |
allowPrivilegeEscalation | 修改和验证 | 仅在设置为 基线:无意见 受限: |
allowedHostPaths | 验证 | 无意见(volumes 优先级更高) |
allowedFlexVolumes | 验证 | 无意见(volumes 优先级更高) |
allowedCSIDrivers | 验证 | 无意见(volumes 优先级更高) |
allowedUnsafeSysctls | 验证 | 基线和受限:未定义 / 为空 / 为空 |
forbiddenSysctls | 验证 | 无意见 |
allowedProcMountTypes(alpha 特性) | 验证 | 基线和受限:["Default"] 或未定义 / 为空 / 为空 |
runtimeClass .defaultRuntimeClassName | 修改 | 无意见 |
runtimeClass .allowedRuntimeClassNames | 验证 | 无意见 |
PodSecurityPolicy 注释
此表中列出的 注释 可以在 PodSecurityPolicy 对象的 .metadata.annotations 下指定。
PSP 注释 | 类型 | 等效的 Pod 安全标准 |
|---|---|---|
seccomp.security.alpha.kubernetes.io/defaultProfileName | 修改 | 无意见 |
seccomp.security.alpha.kubernetes.io/allowedProfileNames | 验证 | 基线: 受限:
|
apparmor.security.beta.kubernetes.io/defaultProfileName | 修改 | 无意见 |
apparmor.security.beta.kubernetes.io/allowedProfileNames | 验证 | 基线: 受限:
|
上次修改时间:2024 年 7 月 23 日下午 12:19 PST:PSS:将 container_engine_t 添加到允许的 selinux 类型列表中 (06aff012a2)