Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper）

--- title: Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper） keywords: - PSS - Admission - Gatekeeper - Pod 安全 - 最小权限 description: 以 PSS 为基础，结合 Admission 与 OPA Gatekeeper 实施 Pod 级安全策略与校验，保障最小权限与合规并提供验证方法。 date: 2025-11-26 categories: - 文章资讯 - 技术教程 --- # Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper） ## 概述 PSS 用于替代 PSP，定义 `restricted/baseline/privileged` 等安全级别。配合 Admission/Gatekeeper 可强制校验安全策略与最小权限。 ## 关键实践与参数 - 级别选择：生产推荐 `restricted`；禁止特权、宿主路径挂载与不安全能力。 - Admission：使用 `ValidatingAdmissionPolicy` 或 Gatekeeper 在准入阶段校验。 - 最小权限：`runAsNonRoot`、`readOnlyRootFilesystem`、能力白名单与 NetworkPolicy。 ## 示例（Gatekeeper 片段） ```yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPRestricted metadata: name: pss-restricted spec: match: kinds: - apiGroups: [""] kinds: ["Pod"] ``` ## 验证方法 - 提交不合规 Pod 并确认被拒绝；审计日志记录原因。 - 观察命名空间的策略覆盖与例外名单；灰度上线策略。 - 演练升级与回滚，确保策略变更不影响关键服务。 ## 注意事项 - 自定义资源的健康与误判需完善验证；避免误杀。 - 与 ServiceAccount/RBAC 联动；防止权限扩大。 - 策略版本化与审计，保障长期演进与合规。