使用名字空间标签来实施 Pod 安全性标准

    你的 Kubernetes 服务器版本必须不低于版本 v1.22. 要获知版本信息,请输入 kubectl version.

    下面的清单定义了一个 名字空间,其中

    • 阻止任何不满足 baseline 策略要求的 Pods;
    • 针对任何无法满足 restricted 策略要求的、已创建的 Pod 为用户生成警告信息, 并添加审计注解;

    在添加或变更 enforce 策略(或版本)标签时,准入插件会测试名字空间中的每个 Pod 以检查其是否满足新的策略。不符合策略的情况会被以警告的形式返回给用户。

    在刚开始为名字空间评估安全性策略变更时,使用 --dry-run 标志是很有用的。 Pod 安全性标准会在 dry run(试运行) 模式下运行,在这种模式下会生成新策略如何处理现有 Pod 的信息, 但不会真正更新策略。

    注意,这里没有设置 enforce 级别,因而没有被显式评估的名字空间可以被识别出来。 你可以使用下面的命令列举那些没有显式设置 enforce 级别的名字空间:

    应用到单个名字空间

    你也可以更新特定的名字空间。下面的命令将 enforce=restricted 策略应用到 名字空间,将 restricted 策略的版本锁定到 v1.25。