LOADING

Follow me

Kubernetes废弃PodSecurityPolicy后续
1月 21 2021|

Kubernetes废弃PodSecurityPolicy后续

Kubernetes社区将在1.21版本中弃用PSP,并将1.25版本中移除该API。目前CNCF生态圈类似项目:Kyverno与Open Policy Agen(OPA).

PodSecurityPolicy是集群级别的Pod安全策略,其对Pod的操作进行细粒度的授权。在Kubernetes架构中以Admission Controller(准入控制,类似NamespaceLifecycle、ResourceQuota等),通俗来讲就是一种写入前检查插件


一、PSP困境

当前PodSecurityPolicy特性存在以下问题:

  1. 授权模型存在缺陷
  2. 功能易开难关
  3. API接口缺乏一致性及扩展性,如MustRunAsNonRoot、AllowPrivilegeEscalation此类配置
  4. 无法处理动态注入的side-car(如knative)
  5. 在CI/CD场景难以落地

二、备选方案

Kyverno简介

Kyverno是为Kubernetes设计的策略引擎(CNCF sandbox项目)。其具备以下功能:

  • 相关策略类似Kubernetes对象,上手容易

  • 配置管理便利

  • 为Kubernetes资源的策略进行声明式验证,更改和生成资源配置。

  • 在Kubernetes集群中作为动态准入控制器运行。

  • 可以使用资源种类,名称和标签选择器来匹配资源。名称中支持通配符等

当前采纳该方案的开源项目:fluxcd v2等

OPA简介

Open Policy Agent(即OPA, CNCF孵化项目), 为策略决策需求提供了一个统一的框架。它将策略决策从软件业务逻辑中解耦剥离,将策略定义、决策过程抽象为通用模型,实现了一个通用策略引擎,

其可用于微服务、Kubernetes、 CI/CD、API网关等应用场景。

OPA可以通过sidecar、外部服务或是依赖库的方式与已有的软件系统进行集成。OPA 可以接受任何类型的结构化数据,决策流程如下图所示:

OPA通过数据输入和策略来进行决策,决策过程和数据无关。例如:

  • 判断某用户可以访问哪些资源
  • 允许哪些子网对外访问
  • 工作负载可以部署在哪个集群
  • 可以使用哪些镜像
  • 容器可以使用哪些系统功能
  • 什么时间可以访问等

参考资料

zouyee wechat

微信扫一扫
关注该公众号

0%