如果您尝试在未启用 PodSecurityPolicy API 或 PodSecurityPolicy 准入控制器的集群中创建 Pod,则会收到以下错误:
Error from server: error when creating: admission webhook "podsecuritypolicy-admission-webhook.k8s.io" denied the request: Pod "my-pod" cannot be created because it violates PodSecurityPolicy "default"
Kubectl label --overwrite ns pod-security.kubernetes.io/enforce=baseline 命令会在指定的命名空间(ns)上设置 pod-security.kubernetes.io/enforce 标签为 baseline。这个标签用于指定 Pod 的安全性标准。baseline 是 Kubernetes 提供的默认安全性标准,它包含了一系列的安全限制,旨在降低 Pod 被攻击的风险。
具体来说,baseline 标准包括以下限制:
当指定命名空间的 pod-security.kubernetes.io/enforce 标签为 baseline 时,将会强制所有在该命名空间中创建的 Pod 遵守该标准。如果 Pod 的安全上下文(security context)违反了该标准,则 Pod 将无法创建成功。
该命令的目的是为了提高 Kubernetes 集群的安全性。通过强制所有 Pod 遵守 baseline 标准,可以有效防止 Pod 被攻击。
以下是该命令的示例:
该命令将会在默认命名空间(default)上设置 pod-security.kubernetes.io/enforce 标签为 baseline。
请注意,该命令会覆盖命名空间中现有的 pod-security.kubernetes.io/enforce 标签。如果您不希望覆盖现有的标签,可以使用 --overwrite 参数的 no-overwrite 选项。
有两种方法可以查看集群是否启用了 Pod 安全策略:
kubectl api-versions命令查看 PodSecurityPolicy API 是否可用:如果输出中包含 extensions/v1beta1/podsecuritypolicy,则表示 PodSecurityPolicy API 已启用。
kubectl get mutatingwebhookconfigurations命令查看 PodSecurityPolicy 准入控制器是否可用:如果输出中包含 podsecuritypolicy-admission-webhook,则表示 PodSecurityPolicy 准入控制器已启用。
如果集群满足上述两个条件,则表示集群已启用了 Pod 安全策略。
此外,您还可以使用以下命令查看集群中是否存在任何 Pod 安全策略:
如果输出中包含任何 Pod 安全策略,则表示集群已启用了 Pod 安全策略。
以下是示例输出:
在该输出中,
default是 Pod 安全策略的名称,true表示 Pod 安全策略已启用。如果您尝试在未启用 PodSecurityPolicy API 或 PodSecurityPolicy 准入控制器的集群中创建 Pod,则会收到以下错误:
Error from server: error when creating: admission webhook "podsecuritypolicy-admission-webhook.k8s.io" denied the request: Pod "my-pod" cannot be created because it violates PodSecurityPolicy "default"
该错误表示 Pod 违反了 Pod 安全策略。