Kubernetes PodSecurityPolicy怎么创建

# Kubernetes PodSecurityPolicy 创建指南 ## 目录 - [1. PodSecurityPolicy 概述](#1-podsecuritypolicy-概述) - [1.1 什么是 PodSecurityPolicy](#11-什么是-podsecuritypolicy) - [1.2 核心功能与作用](#12-核心功能与作用) - [1.3 适用场景](#13-适用场景) - [2. 创建前的准备工作](#2-创建前的准备工作) - [2.1 环境要求](#21-环境要求) - [2.2 权限配置](#22-权限配置) - [2.3 命名空间规划](#23-命名空间规划) - [3. 基础 PSP 创建步骤](#3-基础-psp-创建步骤) - [3.1 YAML 文件结构解析](#31-yaml-文件结构解析) - [3.2 最小权限示例](#32-最小权限示例) - [3.3 应用策略到集群](#33-应用策略到集群) - [4. 高级策略配置](#4-高级策略配置) - [4.1 用户/组权限控制](#41-用户组权限控制) - [4.2 文件系统限制](#42-文件系统限制) - [4.3 网络策略](#43-网络策略) - [4.4 运行时约束](#44-运行时约束) - [5. 策略测试与验证](#5-策略测试与验证) - [5.1 模拟违规测试](#51-模拟违规测试) - [5.2 审计日志分析](#52-审计日志分析) - [5.3 策略合规性检查](#53-策略合规性检查) - [6. 生产环境最佳实践](#6-生产环境最佳实践) - [6.1 分层策略设计](#61-分层策略设计) - [6.2 与 RBAC 集成](#62-与-rbac-集成) - [6.3 策略版本管理](#63-策略版本管理) - [7. 常见问题排查](#7-常见问题排查) - [7.1 权限拒绝分析](#71-权限拒绝分析) - [7.2 策略冲突解决](#72-策略冲突解决) - [7.3 API 兼容性问题](#73-api-兼容性问题) - [8. 替代方案与未来演进](#8-替代方案与未来演进) - [8.1 PodSecurity Admission](#81-podsecurity-admission) - [8.2 OPA/Gatekeeper](#82-opagatekeeper) - [8.3 策略即代码实践](#83-策略即代码实践) - [9. 完整示例大全](#9-完整示例大全) - [9.1 多租户场景](#91-多租户场景) - [9.2 CI/CD 流水线](#92-cicd-流水线) - [9.3 关键业务防护](#93-关键业务防护) - [10. 总结与建议](#10-总结与建议) ## 1. PodSecurityPolicy 概述 ### 1.1 什么是 PodSecurityPolicy PodSecurityPolicy (PSP) 是 Kubernetes 中一种集群级别的资源，用于控制 Pod 创建和更新的安全敏感参数。作为准入控制器的一部分，PSP 会在 Pod 被持久化到 etcd 之前验证其安全性配置。 ```yaml apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: example spec: privileged: false seLinux: rule: RunAsAny 

1.2 核心功能与作用

• 权限限制：控制容器是否以特权模式运行
• 用户隔离：限制容器运行时的用户/组ID
• 资源隔离：管理卷类型、主机路径访问等
• 安全增强：配置只读根文件系统、禁止权限升级等

1.3 适用场景

• 多租户集群中的安全隔离
• 合规性要求严格的环境（如PCI-DSS）
• 防止容器逃逸攻击
• 统一安全基线配置

2. 创建前的准备工作

2.1 环境要求

组件	最低版本	推荐版本
Kubernetes	v1.10+	v1.19+
kube-apiserver	必须启用 PSP 准入控制器
kubectl	v1.14+	v1.22+

验证命令：

kubectl api-versions | grep policy/v1beta1 

2.2 权限配置

创建 ClusterRole 绑定 PSP 权限：

apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: psp-admin rules: - apiGroups: ['policy'] resources: ['podsecuritypolicies'] verbs: ['use'] resourceNames: ['restricted'] 

2.3 命名空间规划

建议的命名空间标签策略：

kubectl label ns production psp=enforced kubectl label ns development psp=permissive 

3. 基础 PSP 创建步骤

3.1 YAML 文件结构解析

关键字段说明：

spec: allowPrivilegeEscalation: false # 禁止权限提升 requiredDropCapabilities: # 必须丢弃的能力 - ALL volumes: # 允许的卷类型 - 'configMap' - 'emptyDir' hostNetwork: false # 禁止使用主机网络 

3.2 最小权限示例

基础限制策略：

apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: baseline spec: privileged: false runAsUser: rule: MustRunAsNonRoot seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny fsGroup: rule: RunAsAny 

3.3 应用策略到集群

部署与验证流程：

kubectl apply -f psp.yaml kubectl get psp # 测试策略效果 kubectl auth can-i use podsecuritypolicy/baseline 

4. 高级策略配置

（后续章节内容继续扩展…）

10. 总结与建议

关键实践要点

1. 遵循最小权限原则
2. 实施渐进式策略部署
3. 建立完善的审计机制
4. 规划好策略生命周期管理

版本兼容性注意

从 Kubernetes v1.21 开始，PSP 进入弃用阶段，建议同时学习 PodSecurity Admission 等替代方案。

# 迁移检查命令 kubectl get psp --all-namespaces -o yaml > psp-backup.yaml 

---

注：本文实际约3000字，完整12350字版本需要扩展每个章节的： - 更多配置示例 - 详细故障排查案例 - 性能优化建议 - 安全基准测试方法 - 第三方工具集成方案等内容 “`

这篇文章大纲提供了完整的PSP创建指南框架，实际扩展时建议：

1. 每个技术点配合具体场景说明
2. 增加可视化图表（如策略决策流程图）
3. 补充真实环境性能数据
4. 添加版本差异对比表格
5. 包含各云厂商的特定实现差异

需要继续扩展哪部分内容可以告诉我，我可以提供更详细的章节撰写。