第 16 章 了解并管理 pod 安全准入

Pod 安全准入是 Kubernetes pod 安全标准的实现。使用 pod 安全准入来限制 pod 的行为。

16.1. Pod 安全准入和安全性上下文约束

Pod 安全准入标准和安全上下文约束由两个独立的控制器协调并强制实施。这两个控制器使用以下进程独立工作,以强制执行安全策略:

  1. 安全性上下文约束控制器可能会根据 pod 分配的 SCC 模拟一些安全上下文字段。例如,如果 seccomp 配置集为空或未设置,如果 pod 的分配的 SCC 将 seccompProfiles 字段强制为 runtime/default,控制器会将默认类型设置为 RuntimeDefault
  2. 安全性上下文约束控制器根据匹配的 SCC 验证 Pod 的安全上下文。
  3. pod 安全准入控制器根据分配给命名空间的 pod 安全标准验证 pod 的安全上下文。