创建和分配Kubernetes Pod安全策略

Kubernetes是大多数企业的必备的容器管理和服务编排工具。但是随着Kubernetes中管理的容器越来越多，安全性可能就会成为一个问题。不仅容器中的应用需要具备完善的安全控制，而且容器和Pod所在运行环境的安全性。否则，企业将面临数据被盗窃等风险。

为此，应用在部署到Kubernetes集群时，Pod安全策略是必须要考虑的一件事。所以，本文想向你介绍创建Kubernetes Pod安全策略的基础知识，进而能帮助你实现可靠而安全的部署。

Kubernetes Pod是什么？

在我们深入研究安全策略之前，你可能需要首先了解Pod是什么：Pod是构成一个容器的过程的集合。这些过程可以包括：

• 存储资源
• 唯一的网络IP地址
• 容器运行需要的配置信息

以上这些，可以称之为一个部署单元。这个单元可以是单个容器的形式，也可以是多个容器一起工作的形式（例如WordPress，NGINX和MySQL）。这些容器中的每个都有自己的配选项，但它们组合一起就可以成为一个有凝聚力的整体-Pod。

但是，如果没有整体安全性的管理手段，那么你将不得不管理各个容器的安全性。这就给Kubernetes开发人员带来了很大的麻烦。所以，我们需要Pod安全策略。

Pod安全策略

Pod安全策略，指的是Pod必须满足特定安全条件的配置，以便被Kubernetes集群接受。如果不满足条件，则Pod将会被拒绝。通过使用PodSecurityPolicy对象定义Pod安全策略，可以控制以下各项：

• Pod运行特权容器( privileged containers )的能力。
• Pod使用特权升级( privilege escalation )的能力。
• Pod对存储卷类型的访问。
• Pod对主机文件系统的访问。
• Pod对主机网络对象和配置的使用。

但是如何定义Pod安全策略？让我们开始深入……

创建Kubernetes Pod安全策略

Pod安全策略可以在YAML文件中定义。

让我们创建一个新的Pod安全策略。该策略将执行以下操作（RunAsAny规则，该规则比runAsUser选项更自由宽松）：

• 禁用Pod运行特权容器。
• 允许使用SELinux。
• 允许使用Linux组。
• 允许用户运行其他用户创建的容器。
• 允许使用fsGroup。

例如，创建以下的YAML文件，nano no-privilege.yaml：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: no-privilege
spec:
  privileged: false
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

要应用新创建的Pod安全策略，使用如下命令：

kubectl apply -f no-privelege.yaml

当输出以下内容：

Podsecurity.policy/no-privilege created

说明你的Pod安全策略已经被应用。

如果你需要修改上面的Pod安全策略，则可以编辑YAML文件并重新运行kubectl apply命令就可以了。

也可以使用以下命令验证你的策略是否生效：

kubectl get psp no-privilege

它将打印出YAML文件中定义的Pod安全策略。

Pod安全策略

现在你已经知道如何创建了Pod安全策略，但你还需要了解…

如何分配Pod安全策略

角色的访问控制（RBAC）是kubernetes标准的授权模式，并且很容应用于Pod安全策略。借助RBAC，你可以将Pod安全策略分配给应用。

为此，我们将创建一个新的YAML文件，该文件不仅会创建集群范围的角色（使用ClusterRole定义），还将创建集群绑定（使用ClusterRoleBinding定义），以向每个经过身份验证的用户授予访问权限。

使用以下命令创建新文件：

nano rbac-noprivilege.yaml

在该文件中，粘贴以下内容：

首先，一个集群角色(clusterRole)需要被授权它想要的策略(使用use动词)。

然后，把集群角色与授权的用户绑定 。

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: no-privilege:no-privilege
rules:
- apiGroups:
  - extensions
  resources:
  - Podsecuritypolicies
  resourceNames:
  - no-privilege
  verbs:
  - use
---
 
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: no-privilege:no-privilege
subjects:
- kind: Group
  name: system:authenticated
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: no-privilege:no-privilege
  apiGroup: rbac.authorization.k8s.io

保存并关闭文件。通过以下命令应用集群角色：

kubectl apply -f rbac-noprivilege.yaml

上面的命令将打印出：

clusterrole.rbac.authorization.k8s.io/no-privilege:no-privilege created
clusterrolebinding.rbac.authorization.k8s.io/no-privilege:no-privilege created

现在，你可以通过以下命令使用新策略：

kubectl auth can-i use podsecuritypolicy/no-privilege

这时候，控制台会输出“yes”。

让我们检查一下是否任何其他用户可以通过以下命令，来使用新策略：

kubectl auth can-i use podsecuritypolicy/no-privilege --as-group=system:authenticated --as=any-user

这时候，控制台会输出““ no”。

现在，你已经创建并应用了第一个Kubernetes Pod安全策略。借助此技术，你可以大大增强Kubernetes中应用的安全性。

译文链接： https://thenewstack.io/tutorial-create-a-kubernetes-Pod-security-policy/