"Kubernetes Pod Security Admission(PSA) 等级与标签配置"

Kubernetes Pod Security Admission(PSA) 等级与标签配置命名空间标签示例kubectl label namespace app \ pod-security.kubernetes.io/enforce=restricted \ pod-security.kubernetes.io/enforce-version=latest \ pod-security.kubernetes.io/audit=restricted \ pod-security.kubernetes.io/warn=baseline 等级说明`restricted`：最严格，禁止特权、宿主路径、可写 rootFS 等`baseline`：基础安全，不允许大部分已知危险模式`privileged`：几乎无限制，仅用于受控环境验证创建不符合 restricted 的 Pod 将被拒绝并给出原因总结通过 PSA 标签，可在命名空间维度快速设定安全基线并进行审计与警告。