那些遇到过的问题

版本“apiserver.config.k8s.io/v1”中没有与类型“AdmissionConfiguration”匹配的内容

Mat*_*rix 7 kubernetes azure-aks podsecuritypolicy

我有带有 kubernetes 版本 1.23 的 AKS。我想通过通过AdmissionConfiguration进行设置来激活集群级别的podsecurity,如下所述:

https://kubernetes.io/docs/tasks/configure-pod-container/enforce-standards-admission-controller/

正如我所读到的,“PodSecurity 功能门”在 kubernetes 版本 1.23 上默认启用。我已经根据链接上显示的配置创建了一个 yaml 文件,但是当我应用它时,出现以下错误:

$ k create -f podsecurity.yaml
error: unable to recognize "podsecurity.yaml": no matches for kind "AdmissionConfiguration" in version "apiserver.config.k8s.io/v1"

$ kubectl version
Client Version: version.Info{Major:"1", Minor:"23", GitVersion:"v1.23.5", 
GitCommit:"c285e781331a3785a7f436042c65c5641ce8a9e9", GitTreeState:"clean", BuildDate:"2022-03-16T15:58:47Z", GoVersion:"go1.17.8", Compiler:"gc", Platform:"windows/amd64"}
Server Version: version.Info{Major:"1", Minor:"23", GitVersion:"v1.23.5", 
GitCommit:"8211ae4d6757c3fedc53cd740d163ef65287276a", GitTreeState:"clean", BuildDate:"2022-03-31T20:28:03Z", GoVersion:"go1.17.8", Compiler:"gc", Platform:"linux/amd64"}
Run Code Online (Sandbox Code Playgroud)

我用谷歌搜索了很多,但找不到解决方案或它导致的原因。

如果有人可以提供帮助,我将不胜感激。

我可以在名称空间级别激活它,如下所示: https: //kubernetes.io/docs/tutorials/security/ns-level-pss/ 通过在名称空间下添加标签,但是我想在集群级别激活它但它不起作用。

Doc*_*tor 7

这是因为管理配置不是要在 Kubernetes 集群内部应用的文件。

它是一个必须提供给 API 服务器的静态文件。

如果您的 Kubernetes 集群由 Clouder 管理,并且您无法直接访问 api 服务器,则可以在集群中使用pod 安全准入 Webhook 。
它的安装非常简单并且运行良好。

这样您就可以编辑包含集群范围配置的配置映射。

apiVersion: v1
kind: ConfigMap
metadata:
  name: pod-security-webhook
  namespace: pod-security-webhook
data:
  podsecurityconfiguration.yaml: |
    apiVersion: pod-security.admission.config.k8s.io/v1beta1
    kind: PodSecurityConfiguration
    defaults:
      enforce: "restricted"
      enforce-version: "latest"
      audit: "restricted"
      audit-version: "latest"
      warn: "restricted"
      warn-version: "latest"
    exemptions:
      # Array of authenticated usernames to exempt.
      usernames: []
      # Array of runtime class names to exempt.
      runtimeClasses: []
      # Array of namespaces to exempt.
      namespaces: ["kube-system","policy-test1"]
Run Code Online (Sandbox Code Playgroud)

有关更多信息,我发现 EKS 文档非常有用:https://aws.github.io/aws-eks-best-practices/security/docs/pods/

您还应该注意,命名空间标签将优先于集群范围的配置。

归档时间:

查看次数:

1440 次

最近记录:

3 年,1 月 前
相关归档
Kubernetes - 将多个图像部署到单个 Pod 中 9
kubernetes的外部ip在minikube中显示<nodes> 8
正确的方法来定义k8s-user-startup-script 5
访问 kubernetes ui 时找不到服务“kubernetes-dashboard” 5
发布构建工件任务结果“路径不存在”错误 5
重启集群中的所有 k8s pod? 3
将流量路由到kubernetes集群 2
将 Google Container Registry 容器从另一个 GCP 项目拉入 Google Kubernetes Engine 2
一个 Kubernetes pod 中的双 nginx 1
Kubernetes - 部署是否包含服务? 0
难疑归档
如何使用保存实例状态保存Android Activity状态? 2538
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
.gitignore和.gitkeep有什么区别? 1776
你如何改变用matplotlib绘制的数字的大小? 1726
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
为什么在重写Equals方法时重写GetHashCode很重要? 1371
如何在PHP中进行重定向? 1201
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
什么是Python 3相当于"python -m SimpleHTTPServer" 1124
如何在Ruby on Rails中获取当前的绝对URL? 1030