Einstellung von PodSecurityPolicy

PodSecurityPolicy (Beta) wurde in Kubernetes-Version 1.21 eingestellt und in Version 1.25 entfernt. Weitere Informationen finden Sie im Blogpost zur Einstellung von PodSecurityPolicy. Für Google Kubernetes Engine-Cluster (GKE) mit Version 1.25 oder höher können Sie PodSecurityPolicy nicht mehr verwenden und Sie müssen das Feature deaktivieren, bevor Sie ein Upgrade auf Version 1.25 oder höher ausführen. Eine Anleitung dazu finden Sie unter Von PodSecurityPolicy migrieren.

Alternativen zur PodSecurityPolicy

Wenn Sie weiterhin Sicherheitskontrollen auf Pod-Ebene in GKE verwenden möchten, empfehlen wir eine der folgenden Lösungen:

  • Admission-Controller PodSecurity verwenden: Sie können mit dem PodSecurity-Admission-Controller Pod-Sicherheitsstandards auf Pods anwenden, die auf Ihren GKE-Standard- und Autopilot-Clustern ausgeführt werden. Pod-Sicherheitsstandards sind vordefinierte Sicherheitsrichtlinien, die die allgemeinen Anforderungen der Pod-Sicherheit in Kubernetes erfüllen. Diese Richtlinien sind kumulativ und reichen von sehr weitreichend bis sehr restriktiv.

    Informationen zum Migrieren Ihrer vorhandenen PodSecurityPolicy-Konfiguration zu PodSecurity finden Sie unter Von PodSecurityPolicy migrieren.

  • Config Policy Controller mit dem Pod Security Policy-Bundle verwenden: Mit Policy Controller können Sie Sicherheitsrichtlinien in Ihren GKE-Clustern anwenden und erzwingen. Mit Policy Controller-Bundles, wie dem Pod-Sicherheitsrichtlinien-Bundle, können Sie dieselben Validierungen wie PodSecurityPolicy mit Funktionen wie Probelauf und detaillierter Kontrolle über die Ressourcenabdeckung erzwingen.

    Weitere Informationen finden Sie unter Pod-Sicherheitsrichtlinien-Bundle von Policy Controller verwenden.

  • Gatekeeper verwenden: Mit GKE-Standardclustern können Sie Sicherheitsrichtlinien mit Gatekeeper anwenden. Mit Gatekeeper können Sie die gleichen Funktionen wie mit der PodSecurityPolicy erzwingen sowie andere Funktionen wie Probelauf, graduelle Einführungen und Prüfung nutzen.

    Weitere Informationen finden Sie unter Benutzerdefinierte Sicherheitsrichtlinien auf Pod-Ebene mit Gatekeeper anwenden.

  • GKE Autopilot-Cluster verwenden: GKE Autopilot-Cluster implementieren standardmäßig viele der empfohlenen Sicherheitsrichtlinien.

    Weitere Informationen finden Sie in der Autopilot-Übersicht.

Statistiken und Empfehlungen zur Einstellung ansehen

Mit Statistiken zur Einstellung können Sie prüfen, welche Cluster dieses verworfene Feature verwenden. Informationen zur Einstellung dieses Features werden für Cluster unterstützt, auf denen eine beliebige GKE-Version ausgeführt wird.