關於 Kubernetes 網繭安全性原則

Kubernetes 網繭安全性原則 (PSP)是控制網繭安全性的叢集層級資源。透過 PSP，可讓您控制可部署的網繭類型以及可部署這些網繭的帳戶類型。

PodSecurityPolicy 資源會定義網繭必須滿足才能部署的一組條件。如果未滿足這些條件，則無法部署網繭。單一 PodSecurityPolicy 必須對網繭進行完整驗證。網繭不能在一個原則中有一些規則，同時在另一個原則中又有一些規則。

有多種方式可在 Kubernetes 中實作網繭安全性原則的使用。一般方法是使用角色型存取控制 (RBAC) 物件。ClusterRole 和 ClusterRoleBinding 適用於整個叢集；Role 和 RoleBinding 適用於特定命名空間。如果使用 RoleBinding，則僅會讓網繭在與繫結相同的命名空間中執行。

有兩種方式可建立 Kubernetes 網繭：直接或間接。透過使用您的使用者帳戶部署網繭規格，可以直接建立網繭。透過定義一些更高層級的資源 (例如 Deployment 或 DaemonSet)，可以間接建立網繭。在此情況下，服務帳戶會建立基礎網繭。

若要有效使用 PSP，您必須同時考慮上述網繭建立工作流程。如果使用者直接建立網繭，則繫結到使用者帳戶的 PSP 會控制該作業。如果使用者透過服務帳戶建立網繭，則 PSP 必須繫結至用於建立網繭的服務帳戶。如果在網繭規格中未指定服務帳戶，則會使用命名空間的預設服務帳戶。

如需詳細資訊，請參閱 Kubernetes 說明文件中的網繭安全性原則、RBAC 和服務帳戶。

Tanzu Kubernetes 叢集的預設 PodSecurityPolicy

Tanzu Kubernetes 叢集沒有預設繫結

Tanzu Kubernetes Grid 服務 不會為 Tanzu Kubernetes 叢集提供預設的 RoleBinding 和 ClusterRoleBinding。

被授與 vSphere 命名空間 之編輯權限的 vCenter Single Sign-On 使用者，將指派有 cluster-admin 角色 (對於在該命名空間中部署的任何 Tanzu Kubernetes 叢集)。已驗證的叢集管理員可隱式使用 vmware-system-privileged PSP。雖然從技術層面來說並不是 ClusterRoleBinding，但其效果也相同。

叢集管理員必須定義任何繫結，以允許或限制使用者可部署到叢集的網繭類型。如果使用 RoleBinding，則該繫結僅允許網繭在與繫結相同的命名空間中執行。這樣可以與系統群組配對，以向命名空間中執行的所有網繭授與存取權。向叢集進行驗證的非管理員使用者會指派有 authenticated 角色，因此可繫結至預設 PSP。請參閱向開發人員授與 Tanzu Kubernetes 叢集的存取權。

預設 PodSecurityPolicy 對 Tanzu Kubernetes 叢集的影響