|
| 1 | +--- |
| 2 | +title: Aplicando Padrões de Segurança de Pod com Labels em Namespace |
| 3 | +update_date: 2022-07-18 |
| 4 | +origin_version: 1.24 |
| 5 | +contributors: DonatoHorn |
| 6 | +reviewers: |
| 7 | +- tallclair |
| 8 | +- liggitt |
| 9 | +content_type: task |
| 10 | +min-kubernetes-server-version: v1.22 |
| 11 | +--- |
| 12 | + |
| 13 | +Os namespaces podem ser rotulados para aplicar os [Padrões de segurança de pod] |
| 14 | +(/docs/concepts/security/pod-security-standards). As três políticas |
| 15 | +[privilegiado](/docs/concepts/security/pod-security-standards/#privileged), |
| 16 | +[linha de base](/docs/concepts/security/pod-security-standards/#baseline) |
| 17 | +e [restrito](/docs/concepts/security/pod-security-standards/#restricted) |
| 18 | +cobrem amplamente o espectro de segurança e são implementados pela |
| 19 | +[segurança de Pod](/docs/concepts/security/pod-security-admission/) |
| 20 | +{{< glossary_tooltip text="controlador de admissão" term_id="admission-controller" >}}. |
| 21 | + |
| 22 | +## {{% heading "prerequisites" %}} |
| 23 | + |
| 24 | +{{% version-check %}} |
| 25 | + |
| 26 | +- Garantir que a `PodSecurity` do [portal de funcionalidades] |
| 27 | +(/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) |
| 28 | +está habilitada. |
| 29 | + |
| 30 | +## Exigindo a `baseline` padrão de segurança de pod com labels em namespace |
| 31 | + |
| 32 | +Este manifesto define um Namespace `my-baseline-namespace` que: |
| 33 | + |
| 34 | +- _Bloqueia_ quaisquer Pods que não satisfazem os requisitos da política `baseline`. |
| 35 | +- Gera um aviso para o usuário e adiciona uma anotação de auditoria, a qualquer |
| 36 | +pod criado que não satisfaça os requisitos da política `restricted`. |
| 37 | +- Fixa as versões das políticas `baseline` e `restricted` à v{{< skew currentVersion >}}. |
| 38 | + |
| 39 | +```yaml |
| 40 | +apiVersion: v1 |
| 41 | +kind: Namespace |
| 42 | +metadata: |
| 43 | + name: my-baseline-namespace |
| 44 | + labels: |
| 45 | + pod-security.kubernetes.io/enforce: baseline |
| 46 | + pod-security.kubernetes.io/enforce-version: v{{< skew currentVersion >}} |
| 47 | + |
| 48 | + # Estamos definindo-os para o nosso nível _desejado_ `enforce`. |
| 49 | + pod-security.kubernetes.io/audit: restricted |
| 50 | + pod-security.kubernetes.io/audit-version: v{{< skew currentVersion >}} |
| 51 | + pod-security.kubernetes.io/warn: restricted |
| 52 | + pod-security.kubernetes.io/warn-version: v{{< skew currentVersion >}} |
| 53 | +``` |
| 54 | +
|
| 55 | +## Adicionar Rótulos aos Namespaces Existentes com `kubectl label` |
| 56 | + |
| 57 | +{{< note >}} |
| 58 | +Quando uma política de label `enforce` (ou version) é adicionada our modificada, |
| 59 | +O plugin de admissão testará cada Pod no namespace contra a nova política. |
| 60 | +Violações são devolvidas ao usuário como avisos. |
| 61 | +{{< /note >}} |
| 62 | + |
| 63 | +É útil aplicar a flag `--dry-run` ao avaliar inicialmente as alterações |
| 64 | +do perfil de segurança para namespaces. As verificações padrão de segurança |
| 65 | +do pod ainda serão executadas em _dry run_ mode, dando-lhe informações sobre |
| 66 | +como a nova política trataria os pods existentes, sem realmente atualizar a política. |
| 67 | + |
| 68 | +```shell |
| 69 | +kubectl label --dry-run=server --overwrite ns --all \ |
| 70 | + pod-security.kubernetes.io/enforce=baseline |
| 71 | +``` |
| 72 | + |
| 73 | +### Aplicando a todos os namespaces |
| 74 | + |
| 75 | +Se você está apenas começando com os padrões de segurança de pod, um primeiro passo |
| 76 | +adequado seria configurar todos namespaces com anotações de auditoria para um |
| 77 | +nível mais rigoroso, como `baseline`: |
| 78 | + |
| 79 | +```shell |
| 80 | +kubectl label --overwrite ns --all \ |
| 81 | + pod-security.kubernetes.io/audit=baseline \ |
| 82 | + pod-security.kubernetes.io/warn=baseline |
| 83 | +``` |
| 84 | + |
| 85 | +Observe que isso não está aplicando as definições de nível, para que os namespaces |
| 86 | +que não foram explicitamente avaliados possam ser distinguidos. Você pode listar |
| 87 | +os namespaces sem um nível aplicado, explicitamente definido, usando este comando: |
| 88 | + |
| 89 | +```shell |
| 90 | +kubectl get namespaces --selector='!pod-security.kubernetes.io/enforce' |
| 91 | +``` |
| 92 | + |
| 93 | +### Aplicando a um único namespace |
| 94 | + |
| 95 | +Você pode atualizar um namespace específico também. Este comando adiciona a política |
| 96 | +`enforce=restricted` ao `my-existing-namespace`, fixando a política que restringe |
| 97 | +à versão v{{< skew currentVersion >}}. |
| 98 | + |
| 99 | +```shell |
| 100 | +kubectl label --overwrite ns my-existing-namespace \ |
| 101 | + pod-security.kubernetes.io/enforce=restricted \ |
| 102 | + pod-security.kubernetes.io/enforce-version=v{{< skew currentVersion >}} |
| 103 | +``` |
0 commit comments