Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Pod-Sicherheitszulassung (PSA)-Konfigurationsvorlagen

Vorlagen für die Pod-Sicherheitszulassung (PSA) sind eine von Rancher benutzerdefinierte Ressource (CRD), die in Rancher v2.7.2 und höher verfügbar ist. Die Vorlagen bieten vordefinierte Sicherheitskonfigurationen, die Sie auf einen Cluster anwenden können:

Die standardmäßig in Rancher gelieferten Richtlinien zielen darauf ab, einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit zu bieten. Wenn eine strengere Richtlinienkonfiguration erforderlich ist, können Benutzer solche Richtlinien selbst basierend auf ihren spezifischen Anforderungen erstellen. Falls Rancher-Richtlinien bevorzugt werden, müssen Sie Zulassungscontroller bereitstellen, die die Erstellung von ausgenommenen Namespaces blockieren, die in Ihren Umgebungen nicht verwendet werden.

  • rancher-privileged: Die permissivste Konfiguration. Sie schränkt das Verhalten von Pods nicht ein. Dies ermöglicht bekannte Privilegieneskalationen. Diese Richtlinie hat keine Ausnahmen.

  • rancher-restricted: Eine stark eingeschränkte Konfiguration, die den aktuellen Best Practices zur Härtung von Pods folgt. Sie müssen Namespaces mit Ausnahmen auf Namespace-Ebene für Rancher-Komponenten erstellen.

Weisen Sie eine Vorlage für die Pod-Sicherheitszulassung (PSA) zu.

Sie können eine PSA-Vorlage gleichzeitig zuweisen, wenn Sie einen Downstream-Cluster erstellen. Sie können auch eine Vorlage hinzufügen, indem Sie einen bestehenden Downstream-Cluster konfigurieren.

Weisen Sie eine Vorlage während der Clustererstellung zu.

  • RKE2 und K3s

  • RKE1

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf der Seite Cluster auf die Schaltfläche Erstellen.

  3. Wählen Sie einen Anbieter aus.

  4. Auf dem Cluster: Gehen Sie auf der Seite Erstellen zu Grundlagen  Sicherheit.

  5. Wählen Sie im Dropdown-Menü Konfigurationsvorlage für die Pod-Sicherheitszulassung die Vorlage aus, die Sie zuweisen möchten.

  6. Klicken Sie auf Erstellen.

Weisen Sie eine Vorlage einem vorhandenen Cluster zu.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Suchen Sie den Cluster, den Sie in der Tabelle Cluster aktualisieren möchten, und klicken Sie auf .

  3. Wählen Sie Konfiguration bearbeiten.

  4. Wählen Sie im Dropdown-Menü Konfigurationsvorlage für die Pod-Sicherheitszulassung die Vorlage aus, die Sie zuweisen möchten.

  5. Klicken Sie auf Speichern.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf der Seite Cluster auf die Schaltfläche Erstellen.

  3. Wählen Sie einen Anbieter aus.

  4. Klicken Sie auf der Seite Cluster hinzufügen unter Clusteroptionen auf Erweiterte Optionen.

  5. Wählen Sie im Dropdown-Menü Konfigurationsvorlage für die Pod-Sicherheitszulassung die Vorlage aus, die Sie zuweisen möchten.

  6. Klicken Sie auf Erstellen.

Weisen Sie eine Vorlage einem vorhandenen Cluster zu

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Suchen Sie den Cluster, den Sie in der Tabelle Clusters aktualisieren möchten, und klicken Sie auf .

  3. Wählen Sie Konfiguration bearbeiten.

  4. Gehen Sie auf der Seite Cluster bearbeiten zu Clusteroptionen  Erweiterte Optionen.

  5. Wählen Sie in der Konfigurationsvorlage für die Pod-Sicherheitszulassung die Vorlage aus, die Sie zuweisen möchten.

  6. Klicken Sie auf Speichern.

Fügen Sie eine Pod-Sicherheitszulassung (PSA)-Konfigurationsvorlage hinzu oder bearbeiten Sie diese.

Wenn Sie über Administratorrechte verfügen, können Sie Sicherheitsbeschränkungen und Berechtigungen anpassen, indem Sie zusätzliche PSA-Vorlagen erstellen oder vorhandene Vorlagen bearbeiten.

Wenn Sie eine vorhandene PSA-Vorlage bearbeiten, während sie noch verwendet wird, werden die Änderungen auf alle Cluster angewendet, die dieser Vorlage zugewiesen sind.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf Erweitert, um das Dropdown-Menü zu öffnen.

  3. Wählen Sie Pod-Sicherheitszulassungen aus.

  4. Suchen Sie die Vorlage, die Sie ändern möchten, und klicken Sie auf .

  5. Wählen Sie Konfiguration bearbeiten, um die Vorlage zu bearbeiten.

  6. Wenn Sie mit der Bearbeitung der Konfiguration fertig sind, klicken Sie auf Speichern.

Erlauben Sie Nicht-Admin-Benutzern, PSA-Vorlagen zu verwalten.

Wenn Sie anderen Benutzern erlauben möchten, Vorlagen zu verwalten, können Sie diesen Benutzer an eine Rolle binden, die alle Verben ("*") auf management.cattle.io/podsecurityadmissionconfigurationtemplates gewährt.

Jeder Benutzer, der an die oben genannte Berechtigung gebunden ist, kann die Einschränkungsstufen auf allen verwalteten Clustern ändern, die eine bestimmte PSA-Vorlage verwenden, einschließlich solcher, für die er keine Berechtigungen hat.

Befreiung erforderlicher Rancher-Namespaces

Wenn Sie Rancher in einem Kubernetes-Cluster ausführen, das standardmäßig eine restriktive Sicherheitsrichtlinie durchsetzt, müssen Sie die folgenden Namespaces befreien, andernfalls könnte die Richtlinie verhindern, dass Rancher-System-Pods ordnungsgemäß ausgeführt werden.

  • calico-apiserver

  • calico-system

  • cattle-alerting

  • cattle-capi-system

  • cattle-csp-adapter-system

  • cattle-elemental-system

  • cattle-epinio-system

  • cattle-externalip-system

  • cattle-fleet-local-system

  • cattle-fleet-system

  • cattle-gatekeeper-system

  • cattle-global-data

  • cattle-global-nt

  • cattle-impersonation-system

  • cattle-istio

  • cattle-istio-system

  • cattle-logging

  • cattle-logging-system

  • cattle-monitoring-system

  • cattle-neuvector-system

  • cattle-prometheus

  • cattle-provisioning-capi-system

  • cattle-resources-system

  • cattle-scc-system

  • cattle-sriov-system

  • cattle-system

  • cattle-turtles-system

  • cattle-ui-plugin-system

  • cattle-windows-gmsa-system

  • cert-manager

  • cis-operator-system

  • compliance-operator-system

  • fleet-default

  • fleet-local

  • istio-system

  • kube-node-lease

  • kube-public

  • kube-system

  • longhorn-system

  • rancher-alerting-drivers

  • rancher-compliance-system

  • security-scan

  • sr-operator-system

  • tigera-operator

  • traefik

Rancher, einige von Rancher verwaltete Charts sowie RKE2- und K3s-Distributionen verwenden alle diese Namespaces. Ein Teil der aufgeführten Namespaces ist bereits in der integrierten Rancher rancher-restricted-Richtlinie ausgenommen, um in Downstream-Clustern verwendet zu werden. Für eine vollständige Vorlage, die alle Ausnahmen enthält, die Sie benötigen, um Rancher auszuführen, beziehen Sie sich bitte auf dieses Beispiel für eine Zulassungs-Konfiguration.

Ausnahmen für Namespaces

Wenn Sie die rancher-restricted-Vorlage einem Cluster zuweisen, werden standardmäßig die Einschränkungen auf das gesamte Cluster auf der Namespace-Ebene angewendet. Um bestimmte Namespaces von dieser stark eingeschränkten Richtlinie zu befreien, gehen Sie wie folgt vor:

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf Erweitert, um das Dropdown-Menü zu öffnen.

  3. Wählen Sie Pod-Sicherheitszulassungen aus.

  4. Suchen Sie die Vorlage, die Sie ändern möchten, und klicken Sie auf .

  5. Wählen Sie Konfiguration bearbeiten.

  6. Klicken Sie auf das Namespaces-Kontrollkästchen unter Ausnahmen, um das Namespaces-Feld zu bearbeiten.

  7. Wenn Sie mit der Befreiung von Namespaces fertig sind, klicken Sie auf Speichern.

Sie müssen das Zielcluster aktualisieren, damit die neue Vorlage in diesem Cluster wirksam wird. Ein Update kann ausgelöst werden, indem das Cluster bearbeitet und gespeichert wird, ohne Werte zu ändern.