Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Modelos de Configuração de Admissão de Segurança de Pod (PSA)

Modelos de configuração de admissão de segurança de Pod (PSA) são um recurso definido pelo usuário (CRD) do Rancher, disponível no Rancher v2.7.2 e superior. Os modelos fornecem configurações de segurança pré-definidas que você pode aplicar a um cluster:

As políticas enviadas por padrão no Rancher visam proporcionar um equilíbrio entre segurança e conveniência. Se uma configuração de política mais rigorosa for necessária, os usuários podem elaborar tais políticas com base em seus requisitos específicos. No caso de as políticas do Rancher serem preferidas, você precisará implantar controladores de admissão que bloqueiem a criação de quaisquer namespaces isentos que não serão utilizados em seus ambientes.

  • rancher-privileged: A configuração mais permissiva. Ela não restringe o comportamento de nenhum pod. Isso permite escalonamentos de privilégios conhecidos. Esta política não possui isenções.

  • rancher-restricted: Uma configuração fortemente restrita que segue as melhores práticas atuais para proteção de pods. Você deve fazer isenções em nível de namespace para componentes do Rancher.

Atribuir um Modelo de Configuração de Admissão de Segurança de Pod (PSA)

Você pode atribuir um modelo PSA ao mesmo tempo em que cria um cluster downstream. Você também pode adicionar um modelo configurando um cluster downstream existente.

Atribuir um Modelo Durante a Criação do Cluster

  • RKE2 e K3s

  • RKE1

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Na página Clusters, clique no botão Criar.

  3. Selecione um provedor.

  4. Na Cluster: Na página Criar, vá para Configurações Básicas  Segurança.

  5. No menu suspenso Modelo de Configuração de Admissão de Segurança de Pod (PSA), selecione o modelo que você deseja atribuir.

  6. Clique em Criar.

Atribuir um Modelo a um Cluster Existente

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Encontre o cluster que você deseja atualizar na tabela Clusters e clique no .

  3. Selecione Editar Configuração.

  4. No menu suspenso Modelo de Configuração de Admissão de Segurança de Pod (PSA), selecione o modelo que você deseja atribuir.

  5. Clique em Salvar.

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Na página Clusters, clique no botão Criar.

  3. Selecione um provedor.

  4. Na página Adicionar Cluster, em Opções do Cluster, clique em Opções Avançadas.

  5. No menu suspenso Modelo de Configuração de Admissão de Segurança de Pod (PSA), selecione o modelo que você deseja atribuir.

  6. Clique em Criar.

Atribuir um Modelo a um Cluster Existente

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Encontre o cluster que você deseja atualizar na tabela Clusters e clique no .

  3. Selecione Editar Configuração.

  4. Na página Editar Cluster, vá para Opções do Cluster  Opções Avançadas.

  5. No Modelo de Configuração de Admissão de Segurança de Pod (PSA), selecione o modelo que você deseja atribuir.

  6. Clique em Salvar.

Adicionar ou Editar um Modelo de Configuração de Admissão de Segurança de Pod (PSA)

Se você tiver privilégios de administrador, pode personalizar restrições de segurança e permissões criando modelos PSA adicionais ou editando modelos existentes.

Se você editar um modelo PSA existente enquanto ele ainda estiver em uso, as alterações serão aplicadas a todos os clusters que foram atribuídos a esse modelo.

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Clique em Avançado para abrir o menu suspenso.

  3. Selecione Admissões de Segurança para Pods.

  4. Encontre o modelo que você deseja modificar e clique no .

  5. Selecione Editar Configuração para editar o modelo.

  6. Quando você terminar de editar a configuração, clique em Salvar.

Permitir que usuários não administradores gerenciem modelos de PSA

Se você quiser permitir que outros usuários gerenciem modelos, pode vincular esse usuário a um papel que concede todos os verbos ("*") em management.cattle.io/podsecurityadmissionconfigurationtemplates.

Qualquer usuário que estiver vinculado à permissão acima poderá alterar os níveis de restrição em todos os clusters gerenciados que utilizam um determinado modelo de PSA, incluindo aqueles nos quais não possui permissões.

Isentando namespaces obrigatórios do Rancher

Quando você executa o Rancher em um cluster Kubernetes que aplica uma política de segurança restritiva por padrão, você precisará isentar os seguintes namespaces, caso contrário, a política pode impedir que os pods do sistema do Rancher sejam executados corretamente.

  • calico-apiserver

  • calico-system

  • cattle-alerting

  • cattle-capi-system

  • cattle-csp-adapter-system

  • cattle-elemental-system

  • cattle-epinio-system

  • cattle-externalip-system

  • cattle-fleet-local-system

  • cattle-fleet-system

  • cattle-gatekeeper-system

  • cattle-global-data

  • cattle-global-nt

  • cattle-impersonation-system

  • cattle-istio

  • cattle-istio-system

  • cattle-logging

  • cattle-logging-system

  • cattle-monitoring-system

  • cattle-neuvector-system

  • cattle-prometheus

  • cattle-provisioning-capi-system

  • cattle-resources-system

  • cattle-scc-system

  • cattle-sriov-system

  • cattle-system

  • cattle-turtles-system

  • cattle-ui-plugin-system

  • cattle-windows-gmsa-system

  • cert-manager

  • cis-operator-system

  • compliance-operator-system

  • fleet-default

  • fleet-local

  • istio-system

  • kube-node-lease

  • kube-public

  • kube-system

  • longhorn-system

  • rancher-alerting-drivers

  • rancher-compliance-system

  • security-scan

  • sr-operator-system

  • tigera-operator

  • traefik

Rancher, alguns gráficos de propriedade do Rancher e as distribuições RKE2 e K3s utilizam todos esses namespaces. Um subconjunto dos namespaces listados já está isento na política incorporada do Rancher rancher-restricted, para uso em clusters downstream. Para um Modelo completo que possui todas as isenções necessárias para executar o Rancher, consulte este Modelo de Configuração de Admissão de Segurança de exemplo.

Isentando namespaces

Se você atribuir o modelo rancher-restricted a um cluster, por padrão, as restrições são aplicadas em todo o cluster no nível do namespace. Para isentar certos namespaces dessa política altamente restritiva, faça o seguinte:

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Clique em Avançado para abrir o menu suspenso.

  3. Selecione Admissões de Segurança para Pods.

  4. Encontre o modelo que você deseja modificar e clique no .

  5. Selecione Editar Configuração.

  6. Clique na caixa de seleção Namespaces sob Isenções para editar o campo Namespaces.

  7. Quando você terminar de isentar namespaces, clique em Salvar.

Você precisa atualizar o cluster de destino para que o novo modelo tenha efeito nesse cluster. Uma atualização pode ser acionada editando e salvando o cluster sem alterar os valores.