Kubernetes社区将在1.21版本中弃用PSP,并将1.25版本中移除该API。目前CNCF生态圈类似项目:Kyverno与Open Policy Agen(OPA).
PodSecurityPolicy是集群级别的Pod安全策略,其对Pod的操作进行细粒度的授权。在Kubernetes架构中以Admission Controller(准入控制,类似NamespaceLifecycle、ResourceQuota等),通俗来讲就是一种写入前检查插件
一、PSP困境
当前PodSecurityPolicy特性存在以下问题:
- 授权模型存在缺陷
- 功能易开难关
- API接口缺乏一致性及扩展性,如MustRunAsNonRoot、AllowPrivilegeEscalation此类配置
- 无法处理动态注入的side-car(如knative)
- 在CI/CD场景难以落地
二、备选方案
Kyverno简介
Kyverno是为Kubernetes设计的策略引擎(CNCF sandbox项目)。其具备以下功能:
相关策略类似Kubernetes对象,上手容易
配置管理便利
为Kubernetes资源的策略进行声明式验证,更改和生成资源配置。
在Kubernetes集群中作为动态准入控制器运行。
可以使用资源种类,名称和标签选择器来匹配资源。名称中支持通配符等
当前采纳该方案的开源项目:fluxcd v2等
OPA简介
Open Policy Agent(即OPA, CNCF孵化项目), 为策略决策需求提供了一个统一的框架。它将策略决策从软件业务逻辑中解耦剥离,将策略定义、决策过程抽象为通用模型,实现了一个通用策略引擎,
其可用于微服务、Kubernetes、 CI/CD、API网关等应用场景。
OPA可以通过sidecar、外部服务或是依赖库的方式与已有的软件系统进行集成。OPA 可以接受任何类型的结构化数据,决策流程如下图所示:
OPA通过数据输入和策略来进行决策,决策过程和数据无关。例如:
- 判断某用户可以访问哪些资源
- 允许哪些子网对外访问
- 工作负载可以部署在哪个集群
- 可以使用哪些镜像
- 容器可以使用哪些系统功能
- 什么时间可以访问等