Esegui la migrazione dalle policy di sicurezza dei pod precedenti () PSP - Amazon EKS

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esegui la migrazione dalle policy di sicurezza dei pod precedenti () PSP

PodSecurityPolicy è stata dichiarata obsoleta in Kubernetes1.21 e rimossa in Kubernetes1.25. Se lo utilizzi PodSecurityPolicy nel tuo cluster, devi migrare agli standard di sicurezza Kubernetes Pod integrati (PSS) o a una policy-as-code soluzione prima di aggiornare il cluster alla versione per evitare interruzioni dei carichi di lavoro. 1.25 Seleziona una delle domande più frequenti per saperne di più.

PodSecurityPolicyè un controller di ammissione integrato che consente a un amministratore del cluster di controllare gli aspetti delle specifiche sensibili alla sicurezza. Pod Se un Pod soddisfa i requisiti del rispettivo PSP, il Pod viene ammesso al cluster come di consueto. Se un Pod non soddisfa i requisiti PSP, il Pod viene rifiutato e non può essere eseguito.

Si tratta di una modifica a monte del Kubernetes progetto e non di una modifica apportata ad AmazonEKS. PSPè stato reso obsoleto e rimosso in Kubernetes1.21. Kubernetes 1.25 La community Kubernetes ha identificato gravi problemi di usabilità con la PSP. Questi includono la concessione accidentale di autorizzazioni più ampie del previsto e le difficoltà di ispezione che le PSPs applicano in una determinata situazione. Questi problemi non potevano essere risolti senza apportare modifiche radicali. Questo è il motivo principale per cui la Kubernetes comunità ha deciso di rimuovere. PSP

Per verificare se stai utilizzando le PSPs nel tuo cluster, esegui il comando seguente:

kubectl get psp

Per vedere i Pods su cui i PSPs sul cluster influiscono, esegui il comando seguente. Questo comando restituisce il nome del Pod, lo spazio dei nomi e i PSPs:

kubectl get pod -A -o jsonpath='{range.items[?(@.metadata.annotations.kubernetes\.io/psp)]}{.metadata.name}{"\t"}{.metadata.namespace}{"\t"}{.metadata.annotations.kubernetes\.io/psp}{"\n"}'

Prima di aggiornare il cluster a 1.25, è necessario migrare le PSPs verso una di queste alternative:

  • Kubernetes PSS.

  • olicy-as-code Soluzioni P dall'Kubernetesambiente.

In risposta all'PSPobsolescenza e alla continua necessità di controllare la Pod sicurezza sin dall'inizio, la Kubernetes community ha creato una soluzione integrata con (PSS) e Pod Security Admission (). PSA Il PSA webhook implementa i controlli definiti in. PSS

È possibile consultare le best practice per la migrazione PSPs a quelle integrate PSS nella Guida alle EKSbest practice. Ti consigliamo inoltre di consultare il nostro blog sull'implementazione degli standard di sicurezza dei pod in Amazon EKS. Ulteriori riferimenti includono Migrate from PodSecurityPolicy a Built-In PodSecurity Admission Controller e Mapping PodSecurityPolicies to Pod Security Standards.

olicy-as-code Le soluzioni P forniscono barriere per guidare gli utenti del cluster e prevenire comportamenti indesiderati attraverso controlli automatici prescritti. olicy-as-code Le soluzioni P in genere utilizzano i Kubernetes Dynamic Admission Controller per intercettare il flusso di richieste del server utilizzando una chiamata webhook. Kubernetes API olicy-as-code Le soluzioni P modificano e convalidano i payload delle richieste in base a politiche scritte e archiviate come codice.

Sono disponibili diverse policy-as-code soluzioni open source per. Kubernetes Per esaminare le migliori pratiche per la migrazione PSPs a una policy-as-code soluzione, consulta la olicy-as-code sezione P della pagina Pod Security su GitHub.

EKSI cluster Amazon con Kubernetes versione 1.13 o superiore hanno un'impostazione predefinita PSP eks.privileged denominata. Questa policy viene creata nei cluster 1.24 e in quelli precedenti. Non viene utilizzata nei cluster 1.25 e in quelli successivi. Amazon esegue EKS automaticamente la migrazione PSP a un'applicazione PSS basata sull'applicazione delle norme. Non è necessaria nessuna azione da parte tua.

No. Inoltreeks.privileged, che è PSP stato creato da AmazonEKS, non vengono apportate modifiche agli altri PSPs membri del cluster durante l'aggiornamento a1.25.

No. Amazon EKS non impedirà l'aggiornamento del cluster alla versione 1.25 se non hai PSP ancora effettuato la migrazione.

Quando un cluster che contiene una PSP viene aggiornato alla Kubernetes versione originale1.25, il API server non riconosce la PSP risorsa in essa contenuta. 1.25 Ciò potrebbe far sì che i Pods ottengano ambiti di sicurezza errati. Per un elenco esaustivo delle implicazioni, consulta Migrare da PodSecurityPolicy al PodSecurity Built-In Admission Controller.

Non prevediamo alcun impatto specifico sui carichi di lavoro Windows. PodSecurityContext ha un campo chiamato windowsOptions PodSpec v1 API per WindowsPods. Questo utilizza la PSS in Kubernetes 1.25. Per ulteriori informazioni e procedure consigliate sull'applicazione dei carichi PSS di lavoro Windows, consulta la Guida alle EKS best practice e Kubernetes la relativa documentazione.