2023年6月30日发(作者：)

kubernetes资源对象之securitycontextSecurity Context，即安全上下⽂，⽤于定义Pod或Container的权限和访问控制。Kubernetes 提供了三种配置 Security Context 的⽅法：Container-level Security Context：应⽤于容器级别Pod-level Security Context：应⽤于Pod级别Pod Security Policy：应⽤于集群级别容器级别仅应⽤到指定的容器上，并且不会影响 Volume。apiVersion: v1kind: Podmetadata: name: hello-worldspec: containers: - name: hello-world-container securityContext: privileged: truePod级别应⽤到 Pod 内所有容器，会影响 Volume。apiVersion: v1kind: Podmetadata: name: hello-worldspec: containers: securityContext: fsGroup: 1234 supplementalGroups: [5678] seLinuxOptions: level: "s0:c123,c456"PSP，集群级别PSP 是集群级的 Pod 安全策略，⾃动为集群内的 Pod 和 Volume 设置 Security Context。⽀持的控制项privilegeddefaultAddCapabilitiesrequiredDropCapabilitiesallowedCapabilitiesvolumeshostNetwork运⾏特权容器可添加到容器的 Capabilities会从容器中删除的 Capabilities允许使⽤的 Capabilities 列表控制容器可以使⽤哪些 volume允许使⽤ host ⽹络hostPortshostPIDhostIPCseLinuxrunAsUsersupplementalGroupsfsGroupprivileged允许的 host 端⼝列表运⾏特权容器使⽤ host PID namespace使⽤ host IPC namespaceSELinux Contextuser ID允许的补充⽤户组volume FSGroup只读根⽂件系统允许 hostPath 插件使⽤的路径列表允许使⽤的 flexVolume 插件列表允许容器进程设置默认是否允许特权升级readOnlyRootFilesystemallowedHostPathsallowedFlexVolumesallowPrivilegeEscalationdefaultAllowPrivilegeEscalationRunAsUserMustRunAs - 必须配置⼀个

range。使⽤该范围内的第⼀个值作为默认值。验证是否不在配置的该范围内。MustRunAsNonRoot - 要求提交的 Pod 具有⾮零

runAsUser 值，或在镜像中定义了

USER 环境变量。不提供默认值。RunAsAny - 没有提供默认值。允许指定任何

runAsUser 。SELinuxMustRunAs - 如果没有使⽤预分配的值，必须配置

seLinuxOptions。默认使⽤

seLinuxOptions。RunAsAny - 没有提供默认值。允许任意指定的

seLinuxOptions ID。SupplementalGroupsMustRunAs - ⾄少需要指定⼀个范围。默认使⽤第⼀个范围的最⼩值。RunAsAny - 没有提供默认值。允许任意指定的

supplementalGroups ID。FSGroupMustRunAs - ⾄少需要指定⼀个范围。默认使⽤第⼀个范围的最⼩值。RunAsAny - 没有提供默认值。允许任意指定的

fsGroup ID。主机⽹络HostPorts ， 默认为

empty。HostPortRange 列表通过

min(包含) and

max(包含) 来定义，指定了被允许的主机端⼝。允许的主机路径AllowedHostPaths 是⼀个被允许的主机路径前缀的⽩名单。空值表⽰所有的主机路径都可以使⽤。控制卷通过设置 PSP 卷字段，能够控制具体卷类型的使⽤。apiVersion: extensions/v1beta1kind: PodSecurityPolicymetadata: name: permissivespec: seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny runAsUser: rule: RunAsAny fsGroup: rule: RunAsAny hostPorts: - min: 8000 max: 8080 volumes: - '*'