PodSecurityPolicy の非推奨


PodSecurityPolicy(ベータ版)は Kubernetes バージョン 1.21 で非推奨になり、バージョン 1.25 で削除されました。詳細については、PodSecurityPolicy の非推奨に関するブログ投稿をご覧ください。バージョン 1.25 以降を実行している Google Kubernetes Engine(GKE)クラスタでは PodSecurityPolicy を使用できなくなりました。バージョン 1.25 以降にアップグレードする前に、この機能を無効にする必要があります。手順については、PodSecurityPolicy から移行するをご覧ください。

PodSecurityPolicy の代替策

GKE で Pod レベルのセキュリティ管理を引き続き使用する場合は、次のいずれかの代替策をおすすめします。

  • PodSecurity アドミッション コントローラの使用: PodSecurity アドミッション コントローラを使用して、GKE Standard クラスタと Autopilot クラスタで実行中の Pod に Pod のセキュリティ標準を適用できます。Pod のセキュリティ標準は事前定義のセキュリティ ポリシーで、Kubernetes における Pod セキュリティの高度なニーズに対応しています。これらのポリシーは累積的であり、制約の緩やかなものから非常に厳格なものまで多岐にわたります。

    既存の PodSecurityPolicy 構成を PodSecurity に移行するには、PodSecurityPolicy から移行するをご覧ください。

  • Policy Controller を Pod Security Policy バンドルで使用する: Policy Controller を使用すると、GKE クラスタにセキュリティ ポリシーを適用できます。Policy Controller のバンドルを使用することで、Pod Security Policy バンドルと同様に、リソース カバレッジに対するドライランやきめ細かい制御を使用して PodSecurityPolicy と同じ検証を実施できます。

    詳細については、Policy Controller の Pod Security Policy バンドルを使用するをご覧ください。

  • Gatekeeper の使用: GKE Standard クラスタでは、Gatekeeper を使用してセキュリティ ポリシーを適用できます。Gatekeeper を使用すると、PodSecurityPolicy と同じ機能を適用できるほか、ドライラン、段階的な展開、監査などの機能も利用できます。

    詳細については、Gatekeeper を使用してカスタム Pod レベルのセキュリティ ポリシーを適用するをご覧ください。

  • GKE Autopilot クラスタの使用: GKE Autopilot クラスタを使用すると、推奨される多くのセキュリティ ポリシーをデフォルトで実装できます。

    詳細については、Autopilot の概要をご覧ください。

非推奨に関する分析情報と推奨事項を表示する

非推奨の分析情報を使用すると、非推奨の機能を使用しているクラスタを確認できます。この機能の非推奨に関する分析情報は、どの GKE バージョンを実行しているクラスタでもサポートされています。