Kubernetes Pod Security Admission基线与受限治理

Kubernetes Pod Security Admission基线与受限治理概览PSA 在命名空间级应用安全约束，定义 `privileged/baseline/restricted` 三档策略。通过标签配置 `enforce`/`warn`/`audit` 三类模式，分别强制、告警与审计。用于禁止特权、提升、hostPath 等高风险配置。技术参数（已验证）标签：`pod-security.kubernetes.io/enforce: restricted`、`pod-security.kubernetes.io/enforce-version: latest`；可设置 `warn` 与 `audit`。策略：`restricted` 要求不可特权、不可 root、只读文件系统（建议）、受控能力集、合理 seccomp/AppArmor。范围：按命名空间设置；与 RBAC、准入控制器协同；替代已废弃的 PSP。兼容：对系统命名空间设置合适级别；为运维工具保留必要权限。观测：记录拒绝与告警事件；在上线前进行合规评估与演练。实战清单在新命名空间启用 `restricted` 并逐步推广；为不兼容工作负载进行整改。配置 `warn/audit` 观察影响面；稳定后切到 `enforce`。与镜像扫描与运行时防护协同；维持持续合规。Importance: 简化安全治理并降低高风险配置的入场概率。