Kapitel 10. Sicherheit von Pods und Containern
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Wenn es um Pod-Sicherheit über die Kubernetes-API geht, hast du zwei Hauptoptionen zur Verfügung: Pod Security Admission und RuntimeClass. In diesem Kapitel geben wir einen Überblick über den Zweck und die Verwendung der beiden APIs und stellen bewährte Methoden für ihre Nutzung vor.
Pod Security Admission Controller
Mit dieser clusterweiten Ressource können alle sicherheitsrelevanten Felder in den Pod-Spezifikationen an einem einzigen Ort definiert und verwaltet werden. Bevor es die Ressource Pod Security Admission gab, haben Cluster-Administratoren und/oder Nutzer die PodSecurityPolicy verwendet, die komplex war und deren korrekte Einrichtung schwierig sein konnte. Vor der Einführung von PodSecurityPolicy mussten die Benutzer für jeden Pod oder jedes Deployment in ihren Workloads individuelle SecurityContextEinstellungen festlegen oder maßgeschneiderte Zulassungssteuerungen im Cluster aktivieren, um einige Aspekte der Pod-Sicherheit durchzusetzen.
Hinweis
Der Pod Security Admission Controller hat die Beta-API PodSecurityPolicy ab Kubernetes 1.22 ersetzt. PodSecurityPolicy wurde in Kubernetes 1.25 entfernt. Pod Security Admission bietet eine vereinfachte API für die Sicherung von Pods, ist aber nicht vollständig mit PodSecurityPolicy identisch. Dafür musst du eine umfassendere Policy-Lösung wie das ...
Get Kubernetes Best Practices, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
