实名反对 PodSecurity Admission
Kubernetes 1.22 中加入了一个新的功能叫 PodSecurity admission,据称是一个 PSP 的替代方案,于是我就“抱着试一试的态度”,第一时间体验了一下。
这个新功能的思路很直白,把 Pod/Container SecurityContext 的限制分为了三组,分别命名为 Privileged、Baseline 以及 Restricted,顾名思义,这三个级别代表着特权、普通以及严格管理三种对策。用法还是很简单的,只要给要控制的命名空间或者 Pod 打上标签即可。可用的标签列表如下:
pod-security.kubernetes.io/enforce: <policy level>pod-security.kubernetes.io/enforce-version: <policy version>pod-security.kubernetes.io/audit: <policy level>pod-security.kubernetes.io/audit-version: <policy version>pod-security.kubernetes.io/warn: <policy level>pod-security.kubernetes.io/warn-version: <policy version>
其中的规定动作包括:
enforce:仅允许创建符合该策略的 Pod 被创建,不合乎要求的 Pod 会被拒绝;audit:可以创建违规 Pod,但是会出现在审计日志中;warn:可以创建违规 Pod,但是会在客户端返回警告信息。
而版本是跟随 Kubernetes 的,例如 1.22 或者 latest。
需要注意的是,多数情况下 Pod 都是用模板创建的,为了尽早发现问题,audit 和 warn 都是可以针对 Deployment 之类的控制器生效的,而 enforce 仅对 Pod 有效。
举个栗子
首先用 Kind 部署一个测试集群,使用如下的配置文件:
kind: Cluster
apiVersion: kind.x-k8s.io/v1alpha4
featureGates:
"PodSecurity": true
nodes:
- role: control-plane
image: kindest/node:v1.22.0
- role: control-plane
image: kindest/node:v1.22.0
- role: control-plane
image: kindest/node:v1.22.0
- role: worker
image: kindest/node:v1.22.0
这里使用 "PodSecurity": true 启用该功能。创建集群并载入镜像:
$ kind create cluster --config 122.yaml
✓ Ensuring node image (kindest/node:v1.22.0) 🖼
✓ Preparing nodes 📦 📦 📦 📦
✓ Configuring the external load balancer ⚖️
✓ Writing configuration 📜
...
$ kind load docker-image dustise/sleep:v0.9.7
Image: "dustise/sleep:v0.9.7" with ID "sha256:cd6cdf0ece4664dcbc10cb98273799a0e4a0e0c2145bf36bb7031915c0ab04df" not yet present on node "kind-control-plane2", loading...
集群生成完毕之后,新建几个命名空间用来测试:
$ kubectl create ns dev
namespace/dev created
$ kubectl create ns stage
namespace/stage created
$ kubectl create ns prod
namespace/prod created
给三个命名空间分别打上标签:
$ kubectl label ns dev pod-security.kubernetes.io/warn=restricted
namespace/dev labeled
$ kubectl label ns stage pod-security.kubernetes.io/audit=restricted
namespace/stage labeled
$ kubectl label ns prod pod-security.kubernetes.io/enforce=restricted
namespace/prod labeled
接下来在每个命名空间创建 Deployment,看看会发生什么:
$ kubectl create deployment sleep --image=dustise/sleep:v0.9.7 -n prod
deployment.apps/sleep created
$ kubectl get pods -n prod
No resources found in prod namespace.
$ kubectl get events -n prod
...
Error creating: allowPrivilegeEscalation != false (container "sleep" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "sleep" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "sleep" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "sleep" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
...
可以看到,Deployment 成功创建,然而却没有 Pod 出现,查看事件会看到其创建过程被拒绝。
再去 Dev 命名空间看一下:
kubectl create deployment sleep --image=dustise/sleep:v0.9.7 -n dev
Warning: would violate "latest" version of "restricted" PodSecurity profile: allowPrivilegeEscalation != false (container "sleep" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "sleep" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "sleep" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "sleep" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
deployment.apps/sleep created
会看到直接返回告警信息,但是 Pod 还是建立起来了。
后记
这个新功能在我看来有些尴尬,每个类别的策略都是隐藏在预配置之中的,要想创建符合其要求的 Pod 可能会费点力气,用 CI 或者 Kyverno 辅助创建可能会更好。