Bas*_*aul 2 rbac kubernetes kubernetes-pod
我的命名空间包含多个秘密和 Pod。使用部署规范将机密作为卷选择性地安装在 pod 上。是否可以拒绝将特定机密作为卷安装在某些 Pod 中。我已经测试了 RBAC,它可以防止 pod 通过 api 访问机密。考虑到允许所有机密安装在同一命名空间的 Pod 中存在安全风险,是否有类似的安装机密机制。
没有简单的方法可以做到这一点,因为秘密是由 kubelet 挂载的。但是您可以配置一个验证Web 挂钩来拦截所有传入 Kubernetes API 服务器的 Pod 创建请求。您将在 web-hook 中编写代码来验证,并且仅当 pod 规范没有任何无效或不需要的机密时才允许 pod 创建请求,否则它将拒绝 pod 创建请求。
另一种选择是让Open Policy Agent验证 Pod 创建请求,您可以在其中编写策略来实现类似的验证。
另一个答案是正确的,但为了完整性,您可以编写一个准入控制器来根据某种策略检查请求。这就是内置的 NodeRestriction 准入控制器的作用,以帮助限制事物,以便 kubelet 只能访问它应该运行的 pod 的机密。
| 归档时间: |
|
| 查看次数: |
737 次 |
| 最近记录: |