---

title: Kubernetes Pod Security Admission(PSA) 等级与标签配置

keywords:

• PSA
• restricted
• baseline
• privileged
• pod-security.kubernetes.io

description: 使用 PSA 为命名空间配置安全等级，通过标签强制或审计 restricted/baseline/privileged，提升集群安全基线。

categories:

• 文章资讯
• 技术教程

---

Kubernetes Pod Security Admission(PSA) 等级与标签配置

命名空间标签示例

kubectl label namespace app \
  pod-security.kubernetes.io/enforce=restricted \
  pod-security.kubernetes.io/enforce-version=latest \
  pod-security.kubernetes.io/audit=restricted \
  pod-security.kubernetes.io/warn=baseline

等级说明

• restricted：最严格，禁止特权、宿主路径、可写 rootFS 等
• baseline：基础安全，不允许大部分已知危险模式
• privileged：几乎无限制，仅用于受控环境

验证

• 创建不符合 restricted 的 Pod 将被拒绝并给出原因

总结

通过 PSA 标签，可在命名空间维度快速设定安全基线并进行审计与警告。