关于在EKS非托管集群中使用PSA替换PSP的问题
【以下的问题经过翻译处理】 你好,
我目前的集群已经升级到v1.24,并且已经安装了pod-security-admission [webhook](https://github.com/kubernetes/pod-security-admission/tree/master/webhook)。
它也工作正常,我可以看到有一些警告。但是如果我删除默认的eks.privileged策略,pod创建将会失败,并显示错误no providers available to validate pod request。
请问我需要做些什么才能完全断开PSP连接?如果我现在将集群升级到v1.25,由于kubernetes 1.25中PSP被删除了,它会收到影响吗?
谢谢!
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 请注意,从Amazon EKS 1.23开始,PodSecurity验证准入控制器已经作为原生Kubernetes的一部分安装。您不需要安装任何额外的OSS PSA webhook。
Kubernetes版本为1.13到1.24的Amazon EKS集群有一个默认的pod安全策略,名为eks.privileged。自 Amazon EKS 1.25 起,此策略已不再适用。对于这种特定的 PSP 策略,您无需采取任何措施。但是,如果在1.25之前删除此PSP或相关的ClusterRole和ClusterRoleBinding,您的Pod将无法在Amazon EKS中启动。您会看到您提到的错误:
pods "..." is forbidden: PodSecurityPolicy: no providers available to validate pod request
因此,在 Amazon EKS 1.25 之前,您不应删除此 PSP 或相关资源。从 1.25 开始,这些资源将不再可用,您无需采取任何措施来解决问题。但是,您必须解决创建的任何 PSP 资源,超出默认的 eks.privileged PSP 之外。
有关从 PSP 到 PSA/PSS 的详细信息,请参阅我们的博客文章:在 Amazon EKS 中实现 Pod 安全标准。您还可以参考此 OSS 项目,Pod Security Admission (PSA) Testing for Kubernetes 1.23,它解释了我们在 Kubernetes 1.23 中测试 PSA/PSS 时的方法。
最后,还有一篇额外的博客文章,[使用 Kyverno 在 Amazon EKS 上管理 Pod 安全性](https://aws.amazon.com/blogs/containers/managing-pod-security-on-amazon-eks-with-kyver
相关内容
AWS 官方已更新 3 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 3 个月前