- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 请注意,从Amazon EKS 1.23开始,PodSecurity验证准入控制器已经作为原生Kubernetes的一部分安装。您不需要安装任何额外的OSS PSA webhook。
Kubernetes版本为1.13到1.24的Amazon EKS集群有一个默认的pod安全策略,名为eks.privileged
。自 Amazon EKS 1.25 起,此策略已不再适用。对于这种特定的 PSP 策略,您无需采取任何措施。但是,如果在1.25之前删除此PSP或相关的ClusterRole和ClusterRoleBinding,您的Pod将无法在Amazon EKS中启动。您会看到您提到的错误:
pods "..." is forbidden: PodSecurityPolicy: no providers available to validate pod request
因此,在 Amazon EKS 1.25 之前,您不应删除此 PSP 或相关资源。从 1.25 开始,这些资源将不再可用,您无需采取任何措施来解决问题。但是,您必须解决创建的任何 PSP 资源,超出默认的 eks.privileged
PSP 之外。
有关从 PSP 到 PSA/PSS 的详细信息,请参阅我们的博客文章:在 Amazon EKS 中实现 Pod 安全标准。您还可以参考此 OSS 项目,Pod Security Admission (PSA) Testing for Kubernetes 1.23,它解释了我们在 Kubernetes 1.23 中测试 PSA/PSS 时的方法。
最后,还有一篇额外的博客文章,[使用 Kyverno 在 Amazon EKS 上管理 Pod 安全性](https://aws.amazon.com/blogs/containers/managing-pod-security-on-amazon-eks-with-kyver
相关内容
- AWS 官方已更新 3 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 个月前