PodSecurityPolicy(Beta 版)在 Kubernetes 1.21 版中已弃用,在 1.25 版中已移除。如需了解详情,请参阅 PodSecurityPolicy 弃用相关博文。对于运行 1.25 或更高版本的 Google Kubernetes Engine (GKE) 集群,您将无法再使用 PodSecurityPolicy,并且必须先停用该功能,然后才能升级到 1.25 或更高版本。有关说明,请参阅从 PodSecurityPolicy 迁移。
PodSecurityPolicy 的替代方案
如果您希望在 GKE 中继续使用 Pod 级层的安全控制措施,我们建议您采用以下解决方案之一:
使用
PodSecurity准入控制器:您可以使用PodSecurity准入控制器,将 Pod 安全标准应用于在 GKE Standard 集群和 Autopilot 集群上运行的 Pod。Pod 安全标准是预定义的安全政策,可满足 Kubernetes 中 Pod 安全性的高层次需求。这些政策是累积式的,从高度宽松到高度严格。如需将现有 PodSecurityPolicy 配置迁移到
PodSecurity,请参阅从 PodSecurityPolicy 迁移。将 Policy Controller 与 Pod 安全政策包搭配使用:Policy Controller 使您可以在 GKE 集群中应用和强制执行安全政策。与 Pod 安全政策包一样,Policy Controller 包可让您强制执行与 PodSecurityPolicy 相同的验证,并具有试运行和精细控制资源覆盖等功能。
如需了解详情,请参阅使用 Policy Controller 的 Pod 安全政策包。
使用 Gatekeeper:通过 GKE Standard 集群,您可以使用 Gatekeeper 应用安全政策。您可以使用 Gatekeeper 强制执行与 PodSecurityPolicy 相同的功能,并利用其他功能,例如试运行、逐步推出和审核。
如需了解详情,请参阅使用 Gatekeeper 以应用自定义 Pod 级层安全政策。
使用 GKE Autopilot 集群:默认情况下,GKE Autopilot 集群会实施许多推荐的安全政策。
如需了解详情,请参阅 Autopilot 概览。
查看弃用提示和建议
您可以使用弃用提示来检查哪些集群正在使用此已弃用的功能。运行任何 GKE 版本的集群均支持对此功能使用弃用提示。