Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Plantillas de configuración de Admisión de Seguridad de Pods (PSA)

Las plantillas de configuración de Admisión de Seguridad de Pods (PSA) son un recurso personalizado definido por el usuario (CRD) de Rancher, disponible en Rancher v2.7.2 y versiones superiores. Las plantillas proporcionan configuraciones de seguridad predefinidas que puedes aplicar a un clúster:

Las políticas que se envían por defecto en Rancher tienen como objetivo proporcionar un equilibrio entre seguridad y conveniencia. Si se necesita una configuración de política más estricta, los usuarios pueden crear tales políticas ellos mismos basándose en sus requisitos específicos. En el caso de que se prefieran las políticas de Rancher, necesitarás desplegar controladores de admisión que bloqueen la creación de cualquier espacio de nombres exentos que no se utilizará dentro de sus entornos.

  • rancher-privileged: La configuración más permisiva. No restringe el comportamiento de ningún pod. Esto permite escaladas de privilegios conocidas. Esta política no tiene exenciones.

  • rancher-restricted: Una configuración fuertemente restringida que sigue las mejores prácticas actuales para la protección de pods. Debe hacer exenciones a nivel de espacio de nombres para los componentes de Rancher.

Asigne una Plantilla de Configuración de Admisión de Seguridad de Pods (PSA)

Puedes asignar una plantilla PSA al mismo tiempo que creas un clúster downstream. También puedes añadir una plantilla configurando un clúster downstream existente.

Asigne una plantilla durante la creación del clúster.

  • RKE2 y K3s

  • RKE1

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión del Clúster.

  2. En la página de Clústeres, haga clic en el botón Crear.

  3. Seleccione un proveedor.

  4. En el Clúster: En la página de Crear, vaya a Conceptos básicos  Seguridad.

  5. En el menú desplegable de Plantilla de Configuración de Admisión de Seguridad de Pods, seleccione la plantilla que desea asignar.

  6. Haga clic en Crear.

Asigne una plantilla a un clúster existente

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión del Clúster.

  2. Encuentre el clúster que desea actualizar en la tabla de Clústeres, y haga clic en el .

  3. Seleccione Editar Configuración.

  4. En el menú desplegable de Plantilla de Configuración de Admisión de Seguridad de Pods, seleccione la plantilla que desea asignar.

  5. Haz clic en Guardar.

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión del Clúster.

  2. En la página de Clústeres, haga clic en el botón Crear.

  3. Seleccione un proveedor.

  4. En la página de Añadir Clúster, bajo Opciones del Clúster, haga clic en Opciones Avanzadas.

  5. En el menú desplegable de Plantilla de Configuración de Admisión de Seguridad de Pods, seleccione la plantilla que desea asignar.

  6. Haga clic en Crear.

Asigne una plantilla a un clúster existente

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión del Clúster.

  2. Encuentre el clúster que desea actualizar en la tabla de Clústeres, y haga clic en el .

  3. Seleccione Editar Configuración.

  4. En la página de Editar Clúster, vaya a Opciones del Clúster  Opciones Avanzadas.

  5. En la Plantilla de Configuración de Admisión de Seguridad de Pods, seleccione la plantilla que desea asignar.

  6. Haz clic en Guardar.

Añadir o Editar una Plantilla de Configuración de Admisión de Seguridad de Pods (PSA)

Si tiene privilegios de administrador, puede personalizar las restricciones de seguridad y permisos creando plantillas PSA adicionales o editando plantillas existentes.

Si edita una plantilla PSA existente mientras aún está en uso, los cambios se aplicarán a todos los clústeres que hayan sido asignados a esa plantilla.

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión del Clúster.

  2. Haga clic en Avanzado para abrir el menú desplegable.

  3. Seleccione Admisiones de Seguridad de Pods.

  4. Encuentre la plantilla que desea modificar y haga clic en el .

  5. Seleccione Editar Configuración para editar la plantilla.

  6. Cuando haya terminado de editar la configuración, haga clic en Guardar.

Permitir a usuarios no administradores gestionar plantillas de PSA

Si desea permitir que otros usuarios gestionen plantillas, puede vincular a ese usuario a un rol que otorgue todos los verbos ("*") en management.cattle.io/podsecurityadmissionconfigurationtemplates.

Cualquier usuario que esté vinculado al permiso anterior podrá cambiar los niveles de restricción en todos los clústeres downstream que utilicen una plantilla de PSA dada, incluyendo aquellos en los que no tiene permisos.

Exención de espacios de nombres requeridos de Rancher

Cuando ejecute Rancher en un clúster de Kubernetes que aplica por defecto una política de seguridad restrictiva, necesitará eximir los siguientes espacios de nombres, de lo contrario, la política podría impedir que los pods del sistema de Rancher se ejecuten correctamente.

  • calico-apiserver

  • calico-system

  • cattle-alerting

  • cattle-capi-system

  • cattle-csp-adapter-system

  • cattle-elemental-system

  • cattle-epinio-system

  • cattle-externalip-system

  • cattle-fleet-local-system

  • cattle-fleet-system

  • cattle-gatekeeper-system

  • cattle-global-data

  • cattle-global-nt

  • cattle-impersonation-system

  • cattle-istio

  • cattle-istio-system

  • cattle-logging

  • cattle-logging-system

  • cattle-monitoring-system

  • cattle-neuvector-system

  • cattle-prometheus

  • cattle-provisioning-capi-system

  • cattle-resources-system

  • cattle-scc-system

  • cattle-sriov-system

  • cattle-system

  • cattle-turtles-system

  • cattle-ui-plugin-system

  • cattle-windows-gmsa-system

  • cert-manager

  • cis-operator-system

  • compliance-operator-system

  • fleet-default

  • fleet-local

  • istio-system

  • kube-node-lease

  • kube-public

  • kube-system

  • longhorn-system

  • rancher-alerting-drivers

  • rancher-compliance-system

  • security-scan

  • sr-operator-system

  • tigera-operator

  • traefik

Rancher, algunos gráficos de propiedad de Rancher, y las distribuciones de RKE2 y K3s utilizan todos estos espacios de nombres. Un subconjunto de los espacios de nombres listados ya están exentos en la política integrada de Rancher rancher-restricted, para su uso en clústeres downstream. Para una plantilla completa que tenga todas las exenciones que necesita para ejecutar Rancher, por favor consulte esta muestra de Configuración de Admisión.

Exención de espacios de nombres

Si asigna la plantilla rancher-restricted a un clúster, por defecto las restricciones se aplican en todo el clúster a nivel de espacio de nombres. Para eximir ciertos espacios de nombres de esta política altamente restringida, haga lo siguiente:

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión del Clúster.

  2. Haga clic en Avanzado para abrir el menú desplegable.

  3. Seleccione Admisiones de Seguridad de Pods.

  4. Encuentra la plantilla que deseas modificar y haz clic en el .

  5. Seleccione Editar Configuración.

  6. Haga clic en la casilla Espacios de Nombres bajo Exenciones para editar el campo Espacios de Nombres.

  7. Cuando haya terminado de eximir espacios de nombres, haga clic en Guardar.

Necesita actualizar el clúster objetivo para que la nueva plantilla tenga efecto en ese clúster. Una actualización puede desencadenarse editando y guardando el clúster sin cambiar valores.