|
| 1 | +--- |
| 2 | +title: Aplicando Padrões de Segurança de Pod com `Labels` em Namespace |
| 3 | +reviewers: |
| 4 | +- tallclair |
| 5 | +- liggitt |
| 6 | +content_type: task |
| 7 | +min-kubernetes-server-version: v1.22 |
| 8 | +--- |
| 9 | + |
| 10 | +Os namespaces podem ser rotulados para aplicar os [Padrões de segurança de pod](/docs/concepts/security/pod-security-standards). As três políticas |
| 11 | +[privilegiado](/docs/concepts/security/pod-security-standards/#privileged), |
| 12 | +[linha de base](/docs/concepts/security/pod-security-standards/#baseline) |
| 13 | +e [restrito](/docs/concepts/security/pod-security-standards/#restricted) |
| 14 | +cobrem amplamente o espectro de segurança e são implementados pela |
| 15 | +[segurança de Pod](/docs/concepts/security/pod-security-admission/) |
| 16 | +{{< glossary_tooltip text="controlador de admissão" term_id="admission-controller" >}}. |
| 17 | + |
| 18 | +## {{% heading "prerequisites" %}} |
| 19 | + |
| 20 | +{{% version-check %}} |
| 21 | + |
| 22 | +- Garantir que a `PodSecurity` do [portal de funcionalidades](/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) |
| 23 | +esteja habilitada. |
| 24 | + |
| 25 | +## Exigindo o padrão de segurança `baseline` de pod com rótulos em namespace |
| 26 | + |
| 27 | +Este manifesto define um Namespace `my-baseline-namespace` que: |
| 28 | + |
| 29 | +- _Bloqueia_ quaisquer Pods que não satisfazem os requisitos da política `baseline`. |
| 30 | +- Gera um aviso para o usuário e adiciona uma anotação de auditoria, a qualquer |
| 31 | +pod criado que não satisfaça os requisitos da política `restricted`. |
| 32 | +- Fixa as versões das políticas `baseline` e `restricted` à v{{< skew currentVersion >}}. |
| 33 | + |
| 34 | +```yaml |
| 35 | +apiVersion: v1 |
| 36 | +kind: Namespace |
| 37 | +metadata: |
| 38 | + name: my-baseline-namespace |
| 39 | + labels: |
| 40 | + pod-security.kubernetes.io/enforce: baseline |
| 41 | + pod-security.kubernetes.io/enforce-version: v{{< skew currentVersion >}} |
| 42 | + |
| 43 | + # Estamos definindo-os para o nosso nível _desejado_ `enforce`. |
| 44 | + pod-security.kubernetes.io/audit: restricted |
| 45 | + pod-security.kubernetes.io/audit-version: v{{< skew currentVersion >}} |
| 46 | + pod-security.kubernetes.io/warn: restricted |
| 47 | + pod-security.kubernetes.io/warn-version: v{{< skew currentVersion >}} |
| 48 | +``` |
| 49 | +
|
| 50 | +## Adicionar Rótulos aos Namespaces Existentes com `kubectl label` |
| 51 | + |
| 52 | +{{< note >}} |
| 53 | +Quando um rótulo de política `enforce` (ou version) é adicionada ou modificada, |
| 54 | +O plugin de admissão testará cada Pod no namespace contra a nova política. |
| 55 | +Violações são devolvidas ao usuário como avisos. |
| 56 | +{{< /note >}} |
| 57 | + |
| 58 | +É útil aplicar a flag `--dry-run` ao avaliar inicialmente as alterações |
| 59 | +do perfil de segurança para namespaces. As verificações padrão de segurança |
| 60 | +do pod ainda serão executadas em modo _dry run_, dando-lhe informações sobre |
| 61 | +como a nova política trataria os pods existentes, sem realmente atualizar a política. |
| 62 | + |
| 63 | +```shell |
| 64 | +kubectl label --dry-run=server --overwrite ns --all \ |
| 65 | + pod-security.kubernetes.io/enforce=baseline |
| 66 | +``` |
| 67 | + |
| 68 | +### Aplicando a todos os namespaces |
| 69 | + |
| 70 | +Se você está apenas começando com os padrões de segurança de pod, um primeiro passo |
| 71 | +adequado seria configurar todos namespaces com anotações de auditoria para um |
| 72 | +nível mais rigoroso, como `baseline`: |
| 73 | + |
| 74 | +```shell |
| 75 | +kubectl label --overwrite ns --all \ |
| 76 | + pod-security.kubernetes.io/audit=baseline \ |
| 77 | + pod-security.kubernetes.io/warn=baseline |
| 78 | +``` |
| 79 | + |
| 80 | +Observe que isso não está aplicando as definições de nível, para que os namespaces |
| 81 | +que não foram explicitamente avaliados possam ser distinguidos. Você pode listar |
| 82 | +os namespaces sem um nível aplicado, explicitamente definido, usando este comando: |
| 83 | + |
| 84 | +```shell |
| 85 | +kubectl get namespaces --selector='!pod-security.kubernetes.io/enforce' |
| 86 | +``` |
| 87 | + |
| 88 | +### Aplicando a um único namespace |
| 89 | + |
| 90 | +Você pode atualizar um namespace específico também. Este comando adiciona a política |
| 91 | +`enforce=restricted` ao `my-existing-namespace`, fixando a política que restringe |
| 92 | +à versão v{{< skew currentVersion >}}. |
| 93 | + |
| 94 | +```shell |
| 95 | +kubectl label --overwrite ns my-existing-namespace \ |
| 96 | + pod-security.kubernetes.io/enforce=restricted \ |
| 97 | + pod-security.kubernetes.io/enforce-version=v{{< skew currentVersion >}} |
| 98 | +``` |
0 commit comments