---

标题: K8s PodSecurity 与安全上下文实践（2025）

关键词:

• PodSecurity
• SecurityContext
• 最小权限
• 根less
• 准入策略

描述: 以 PodSecurity 与 SecurityContext 为核心，落地最小权限与根less 与能力限制与准入策略，提升工作负载的运行时安全。

categories:

• 应用软件
• 编程开发

---

K8s PodSecurity 与安全上下文实践（2025）

Pod 安全依赖准入策略与运行时配置，防止越权与逃逸。

一、策略与级别

• PodSecurity：按 Baseline/Restricted 管控默认策略。
• 准入：在集群层启用策略引擎统一校验。

二、安全上下文

• SecurityContext：runAsUser/runAsNonRoot/readOnlyRootFilesystem 等最小权限配置。
• 能力限制：capabilities 精简授予与剔除危险能力。

三、根less 与挂载

• 根less：以非特权用户运行容器，降低风险。
• 挂载治理：volumeMounts 控制只读与隔离路径。

四、审计与观测

• 审计：记录策略命中与拒绝事件。
• 观测：异常与拒绝分布，定位误配与风险点。

注意事项

• 关键词、分类与描述与正文一致；机制与能力为通用与可验证。
• 与服务网格与准入策略协同统一。