Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Modèles de configuration d’admission de sécurité des pods (PSA)

Modèles de configuration d’admission de sécurité des pods (PSA) sont une ressource personnalisée (CRD) définie par Rancher, disponible dans Rancher v2.7.2 et versions ultérieures. Les modèles fournissent des configurations de sécurité prédéfinies que vous pouvez appliquer à un cluster :

Les politiques fournies par défaut dans Rancher visent à offrir un compromis entre sécurité et commodité. Si une configuration de politique plus stricte est nécessaire, les utilisateurs peuvent créer eux-mêmes de telles politiques en fonction de leurs exigences spécifiques. Dans le cas où les politiques de Rancher sont préférées, vous devrez déployer des contrôleurs d’admission qui bloquent la création de tout espaces de noms exemptés qui ne seront pas utilisés dans vos environnements.

  • rancher-privileged : La configuration la plus permissive. Elle ne restreint pas le comportement de pods. Cela permet des élévations de privilèges connues. Cette politique n’a pas d’exemptions.

  • rancher-restricted : Une configuration fortement restreinte qui suit les meilleures pratiques actuelles pour le renforcement de la sécurité des pods. Vous devez faire exemptions au niveau des espaces de noms pour les composants Rancher.

Attribuer un modèle de configuration d’admission de sécurité des pods (PSA)

Vous pouvez attribuer un modèle PSA en même temps que vous créez un cluster en aval. Vous pouvez également ajouter un modèle en configurant un cluster en aval existant.

Attribuer un modèle lors de la création du cluster

  • RKE2 et K3s

  • RKE1

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Sur la page Clusters, cliquez sur le bouton Créer.

  3. Sélectionnez un fournisseur.

  4. Sur le Cluster : Sur la page Créer, allez à Bases  Sécurité.

  5. Dans le menu déroulant Modèle de configuration d’admission de sécurité des pods, sélectionnez le modèle que vous souhaitez attribuer.

  6. Cliquez sur Create.

Attribuer un modèle à un cluster existant

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Trouvez le cluster que vous souhaitez mettre à jour dans le tableau Clusters, et cliquez sur le .

  3. Sélectionnez Modifier la configuration.

  4. Dans le menu déroulant Modèle de configuration d’admission de sécurité des pods, sélectionnez le modèle que vous souhaitez attribuer.

  5. Cliquez sur Enregistrer.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Sur la page Clusters, cliquez sur le bouton Créer.

  3. Sélectionnez un fournisseur.

  4. Sur la page Ajouter un cluster, sous Options du cluster, cliquez sur Options avancées.

  5. Dans le menu déroulant Modèle de configuration d’admission de sécurité des pods, sélectionnez le modèle que vous souhaitez attribuer.

  6. Cliquez sur Create.

Attribuer un modèle à un cluster existant

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Trouvez le cluster que vous souhaitez mettre à jour dans le tableau Clusters, et cliquez sur le .

  3. Sélectionnez Modifier la configuration.

  4. Sur la page Modifier le cluster, allez à Options du cluster  Options avancées.

  5. Dans le Modèle de configuration d’admission de sécurité des pods, sélectionnez le modèle que vous souhaitez attribuer.

  6. Cliquez sur Enregistrer.

Ajouter ou modifier un modèle de configuration d’admission de sécurité des pods (PSA)

Si vous avez des privilèges d’administrateur, vous pouvez personnaliser les restrictions de sécurité et les autorisations en créant des modèles PSA supplémentaires ou en modifiant des modèles existants.

Si vous modifiez un modèle PSA existant alors qu’il est encore en cours d’utilisation, les modifications seront appliquées à tous les clusters qui ont été attribués à ce modèle.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Cliquez sur Avancé pour ouvrir le menu déroulant.

  3. Sélectionnez Admissions de sécurité des pods.

  4. Trouvez le modèle que vous souhaitez modifier, et cliquez sur le .

  5. Sélectionnez Modifier la configuration pour modifier le modèle.

  6. Lorsque vous avez terminé de modifier la configuration, cliquez sur Enregistrer.

Autoriser les utilisateurs non administrateurs à gérer les modèles PSA

Si vous souhaitez permettre à d’autres utilisateurs de gérer des modèles, vous pouvez lier cet utilisateur à un rôle qui accorde tous les verbes ("*") sur management.cattle.io/podsecurityadmissionconfigurationtemplates.

Tout utilisateur lié à la permission ci-dessus pourra modifier les niveaux de restriction sur tous les clusters gérés qui utilisent un modèle PSA donné, y compris ceux sur lesquels il n’a aucune permission.

Exemption des espaces de noms requis de Rancher

Lorsque vous exécutez Rancher sur un cluster Kubernetes qui applique par défaut une politique de sécurité restrictive, vous devrez exempter les espaces de noms suivants, sinon la politique pourrait empêcher les pods système de Rancher de fonctionner correctement.

  • calico-apiserver

  • calico-system

  • cattle-alerting

  • cattle-capi-system

  • cattle-csp-adapter-system

  • cattle-elemental-system

  • cattle-epinio-system

  • cattle-externalip-system

  • cattle-fleet-local-system

  • cattle-fleet-system

  • cattle-gatekeeper-system

  • cattle-global-data

  • cattle-global-nt

  • cattle-impersonation-system

  • cattle-istio

  • cattle-istio-system

  • cattle-logging

  • cattle-logging-system

  • cattle-monitoring-system

  • cattle-neuvector-system

  • cattle-prometheus

  • cattle-provisioning-capi-system

  • cattle-resources-system

  • cattle-scc-system

  • cattle-sriov-system

  • cattle-system

  • cattle-turtles-system

  • cattle-ui-plugin-system

  • cattle-windows-gmsa-system

  • cert-manager

  • cis-operator-system

  • compliance-operator-system

  • fleet-default

  • fleet-local

  • istio-system

  • kube-node-lease

  • kube-public

  • kube-system

  • longhorn-system

  • rancher-alerting-drivers

  • rancher-compliance-system

  • security-scan

  • sr-operator-system

  • tigera-operator

  • traefik

Rancher, certains charts appartenant à Rancher, ainsi que les distributions RKE2 et K3s utilisent tous ces espaces de noms. Un sous-ensemble des espaces de noms listés est déjà exempté dans la politique intégrée de Rancher rancher-restricted, pour une utilisation dans les clusters en aval. Pour un modèle complet contenant toutes les exemptions nécessaires pour exécuter Rancher, veuillez vous référer à cet exemple de configuration d’admission.

Exemption des espaces de noms

Si vous assignez le modèle rancher-restricted à un cluster, par défaut, les restrictions s’appliquent à l’ensemble du cluster au niveau des espaces de noms. Pour exempter certains espaces de noms de cette politique hautement restrictive, procédez comme suit :

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Cliquez sur Avancé pour ouvrir le menu déroulant.

  3. Sélectionnez Admissions de sécurité des pods.

  4. Trouvez le modèle que vous souhaitez modifier, et cliquez sur le .

  5. Sélectionnez Modifier la configuration.

  6. Cliquez sur la case à cocher Espaces de noms sous Exemptions pour modifier le champ Espaces de noms.

  7. Lorsque vous avez terminé d’exempter les espaces de noms, cliquez sur Enregistrer.

Vous devez mettre à jour le cluster cible pour que le nouveau modèle prenne effet dans ce cluster. Une mise à jour peut être déclenchée en modifiant et en enregistrant le cluster sans changer les valeurs.