Baca dalam bahasa Inggris

Bagikan melalui


Menggunakan Admisi Keamanan Pod di Azure Kubernetes Service (AKS)

Pod Security Admission (PSA) menggunakan label untuk memberlakukan kebijakan Standar Keamanan Pod pada pod yang berjalan di namespace layanan. Di AKS, Penerimaan Keamanan Pod diaktifkan secara default. Untuk informasi selengkapnya tentang Penerimaan Keamanan Pod dan Standar Keamanan Pod, lihat Menerapkan Standar Keamanan Pod dengan label namespace layanan dan Standar Keamanan Pod.

Penerimaan Keamanan Pod adalah solusi kebijakan bawaan untuk implementasi kluster tunggal. Jika Anda ingin menggunakan kebijakan tingkat perusahaan, kami sarankan Anda menggunakan kebijakan Azure.

Sebelum Anda mulai

  • Langganan Azure. Jika Anda tidak memiliki langganan Azure, Anda dapat membuat akun gratis.
  • Azure CLI terpasang.
  • Kluster AKS yang ada yang menjalankan Kubernetes versi 1.23 atau yang lebih tinggi.

Mengaktifkan Admisi Keamanan Pod untuk namespace layanan di kluster Anda

Mengaktifkan PSA untuk namespace layanan tunggal

  • Aktifkan PSA untuk namespace layanan tunggal di kluster Anda menggunakan kubectl label perintah dan atur pod-security.kubernetes.io/enforce label dengan nilai kebijakan yang ingin Anda terapkan. Contoh berikut mengaktifkan restricted kebijakan untuk namespace NAMESPACE .

    kubectl label --overwrite ns NAMESPACE pod-security.kubernetes.io/enforce=restricted
    

Aktifkan PSA untuk semua namespace layanan

  • Aktifkan PSA untuk semua namespace di kluster Anda menggunakan kubectl label perintah dan atur pod-security.kubernetes.io/warn label dengan nilai kebijakan yang ingin Anda terapkan. Contoh berikut memungkinkan baseline kebijakan untuk semua namespace di kluster Anda. Kebijakan ini menghasilkan peringatan yang menghadap pengguna jika ada pod yang disebarkan ke namespace yang tidak memenuhi kebijakan dasar .

    kubectl label --overwrite ns --all pod-security.kubernetes.io/warn=baseline
    

Menerapkan kebijakan Penerimaan Keamanan Pod dengan penyebaran

  1. Buat dua namespace menggunakan kubectl create namespace perintah .

    kubectl create namespace test-restricted
    kubectl create namespace test-privileged
    
  2. Aktifkan kebijakan PSA untuk setiap namespace layanan, satu dengan restricted kebijakan dan satu dengan baseline kebijakan, menggunakan kubectl label perintah .

    kubectl label --overwrite ns test-restricted pod-security.kubernetes.io/enforce=restricted pod-security.kubernetes.io/warn=restricted
    kubectl label --overwrite ns test-privileged pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/warn=privileged
    

    Ini mengonfigurasi test-restricted namespace layanan dan test-privileged untuk memblokir pod yang sedang berjalan dan menghasilkan peringatan yang menghadap pengguna jika ada pod yang tidak memenuhi upaya kebijakan yang dikonfigurasi untuk dijalankan.

  3. Coba sebarkan pod ke test-restricted namespace layanan menggunakan kubectl apply perintah . Perintah ini menghasilkan kesalahan karena test-restricted namespace dikonfigurasi untuk memblokir pod yang tidak memenuhi restricted kebijakan.

    kubectl apply --namespace test-restricted -f https://raw.githubusercontent.com/Azure-Samples/azure-voting-app-redis/master/azure-vote-all-in-one-redis.yaml
    

    Contoh output berikut menunjukkan peringatan yang menyatakan pod melanggar kebijakan yang dikonfigurasi:

    ...
    Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "azure-vote-back" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "azure-vote-back" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "azure-vote-back" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "azure-vote-back" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
    deployment.apps/azure-vote-back created
    service/azure-vote-back created
    Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "azure-vote-front" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "azure-vote-front" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "azure-vote-front" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "azure-vote-front" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
    deployment.apps/azure-vote-front created
    service/azure-vote-front created
    
  4. Konfirmasikan tidak ada pod yang berjalan di test-restricted namespace menggunakan kubectl get pods perintah .

    kubectl get pods --namespace test-restricted
    

    Contoh output berikut menunjukkan tidak ada pod yang berjalan di test-restricted namespace:

    No resources found in test-restricted namespace.
    
  5. Coba sebarkan pod ke test-privileged namespace layanan menggunakan kubectl apply perintah . Kali ini, pod harus berhasil disebarkan karena test-privileged namespace dikonfigurasi untuk memungkinkan pod yang melanggar privileged kebijakan.

    kubectl apply --namespace test-privileged -f https://raw.githubusercontent.com/Azure-Samples/azure-voting-app-redis/master/azure-vote-all-in-one-redis.yaml
    

    Contoh output berikut menunjukkan pod yang berhasil disebarkan:

    deployment.apps/azure-vote-back created
    service/azure-vote-back created
    deployment.apps/azure-vote-front created
    service/azure-vote-front created
    
  6. Konfirmasikan bahwa Anda memiliki pod yang berjalan di test-privileged namespace menggunakan kubectl get pods perintah .

    kubectl get pods --namespace test-privileged
    

    Contoh output berikut menunjukkan dua pod yang berjalan di test-privileged namespace:

    NAME                               READY   STATUS    RESTARTS   AGE
    azure-vote-back-6fcdc5cbd5-svbdf   1/1     Running   0          2m29s
    azure-vote-front-5f4b8d498-tqzwv   1/1     Running   0          2m28s
    
  7. test-restricted Hapus namespace layanan dan test-privileged menggunakan kubectl delete perintah .

    kubectl delete namespace test-restricted test-privileged
    

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara mengaktifkan Admisi Keamanan Pod di sebuah kluster AKS. Untuk informasi selengkapnya tentang Admisi Keamanan Pod, lihat Menerapkan Standar Keamanan Pod dengan Label Namespace Layanan. Untuk informasi selengkapnya tentang Standar Keamanan Pod yang digunakan oleh Admisi Keamanan Pod, lihat Standar Keamanan Pod.