透過配置內建准入控制器強制執行 Pod 安全標準

Kubernetes 提供了一個內建的准入控制器來強制執行Pod 安全標準。你可以配置此准入控制器來設定叢集範圍的預設值和豁免

準備工作

在 Kubernetes v1.22 中釋出 Alpha 版本後,Pod 安全准入作為 Beta 版本在 Kubernetes v1.23 中預設可用。從 1.25 版本開始,Pod 安全准入已正式釋出。

要檢查版本,請輸入 kubectl version

如果你執行的 Kubernetes 版本不是 1.34,可以切換到檢視你所執行的 Kubernetes 版本的文件頁面。

配置准入控制器

apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
  configuration:
    apiVersion: pod-security.admission.config.k8s.io/v1 # see compatibility note
    kind: PodSecurityConfiguration
    # Defaults applied when a mode label is not set.
    #
    # Level label values must be one of:
    # - "privileged" (default)
    # - "baseline"
    # - "restricted"
    #
    # Version label values must be one of:
    # - "latest" (default) 
    # - specific version like "v1.34"
    defaults:
      enforce: "privileged"
      enforce-version: "latest"
      audit: "privileged"
      audit-version: "latest"
      warn: "privileged"
      warn-version: "latest"
    exemptions:
      # Array of authenticated usernames to exempt.
      usernames: []
      # Array of runtime class names to exempt.
      runtimeClasses: []
      # Array of namespaces to exempt.
      namespaces: []
最後修改於 2023 年 10 月 17 日下午 2:00(太平洋標準時間):更新 enforce-standards-admission-controller.md (2d8edf7829)