Exemplo de associações de função para a política de segurança do pod

Os clusters Tanzu Kubernetes incluem a PodSecurityPolicy padrão que você pode associar para implantação de cargas de trabalho com privilégios e restrições.

Sobre a política de segurança de pod padrão

Esta seção fornece YAML e comandos para criar associações de função com a política de segurança do pod padrão. Para obter mais informações, consulte Usando políticas de segurança de pod com clusters do Tanzu Kubernetes.

Exemplo 1: ClusterRoleBinding para executar um conjunto privilegiado de cargas de trabalho

O comando kubectl a seguir cria uma ClusterRoleBinding que concede acesso a usuários autenticados que executam um conjunto privilegiado de cargas de trabalho usando o PSP padrão vmware-system-privileged.

kubectl create clusterrolebinding default-tkg-admin-privileged-binding --clusterrole=psp:vmware-system-privileged --group=system:authenticated

Observação: O comando acima permite a implantação de cargas de trabalho privilegiadas em todo o cluster. Para maior segurança, considere usar um RoleBinding.

Exemplo 2: RoleBinding para executar um conjunto privilegiado de cargas de trabalho

O seguinte comando kubectl cria um RoleBinding que concede acesso a todas as contas de serviço dentro do namespace padrão para executar um conjunto privilegiado de cargas de trabalho usando o PSP padrão vmware-system-privileged.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-default-privileged-sa-ns_default
  namespace: default
roleRef:
  kind: ClusterRole
  name: psp:vmware-system-privileged
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:serviceaccounts

Como alternativa à aplicação do YAML, você pode executar o seguinte comando kubectl.

kubectl create rolebinding rolebinding-default-privileged-sa-ns_default --namespace=default --clusterrole=psp:vmware-system-privileged --group=system:serviceaccounts

Exemplo 3: ClusterRoleBinding para executar um conjunto restrito de cargas de trabalho

O YAML a seguir cria um ClusterRoleBinding que concede aos usuários autenticados acesso em todo o cluster para executar um conjunto restrito de cargas de trabalho usando o PSP padrão vmware-system-restricted.

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: psp:authenticated
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:authenticated
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: psp:vmware-system-restricted

Como alternativa à aplicação do YAML, você pode executar o seguinte comando kubectl.

kubectl create clusterrolebinding psp:authenticated --clusterrole=psp:vmware-system-restricted --group=system:authenticated

Exemplo 4: RoleBinding para executar um conjunto restrito de cargas de trabalho

O YAML a seguir cria um RoleBinding que concede acesso a todas as contas de serviço em um namespace específico para executar um conjunto restrito de cargas de trabalho usando o PSP padrão vmware-system-restricted.

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: psp:serviceaccounts
  namespace: some-namespace
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:serviceaccounts
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: psp:vmware-system-restricted

Como alternativa à aplicação do YAML, você pode executar o seguinte comando kubectl.

kubectl create rolebinding psp:serviceaccounts --clusterrole=psp:vmware-system-restricted --group=system:serviceaccounts