淘汰 PodSecurityPolicy

PodSecurityPolicy (Beta 版) 已於 Kubernetes 1.21 版淘汰,並在 1.25 版中移除。詳情請參閱這篇網誌文章。對於執行 1.25 以上版本的 Google Kubernetes Engine (GKE) 叢集,您無法再使用 PodSecurityPolicy,且必須先停用這項功能,才能升級至 1.25 以上版本。如需操作說明,請參閱「從 PodSecurityPolicy 遷移」一文。

PodSecurityPolicy 的替代方案

如要在 GKE 中繼續使用 Pod 層級安全控管,建議採用下列其中一種解決方案:

  • 使用 PodSecurity 許可控制器:您可以透過 PodSecurity 許可控制器,將 Pod 安全性標準套用至 GKE Standard 和 Autopilot 叢集上執行的 Pod。Pod 安全性標準是預先定義的安全政策,可滿足 Kubernetes 中 Pod 安全性的高階需求。這些政策會累加,範圍從高度寬鬆到高度嚴格。

    如要將現有的 PodSecurityPolicy 設定遷移至 PodSecurity,請參閱「從 PodSecurityPolicy 遷移」。

  • 搭配 Pod 安全性政策套件使用 Policy Controller: Policy Controller 可讓您在 GKE 叢集中套用及強制執行安全性政策。透過 Policy Controller 套件 (例如 Pod 安全性政策套件),您可以強制執行與 PodSecurityPolicy 相同的驗證,並使用模擬執行和精細控管資源涵蓋範圍等功能。

    詳情請參閱「使用 Policy Controller 的 Pod 安全性政策套件」。

  • 使用 Gatekeeper:您可以在 GKE Standard 叢集使用 Gatekeeper 套用安全性政策。您可以使用 Gatekeeper 執行與 PodSecurityPolicy 相同的功能,並運用其他功能,例如試執行、逐步推出及稽核。

    詳情請參閱「使用 Gatekeeper 套用自訂 Pod 層級安全性政策」。

  • 使用 GKE Autopilot 叢集:GKE Autopilot 叢集預設會實作許多建議的安全政策。

    詳情請參閱「Autopilot 總覽」。

查看淘汰洞察資料和建議

您可以使用淘汰洞察,查看哪些叢集使用這項已淘汰的功能。這項功能的淘汰洞察支援執行任何 GKE 版本的叢集。