使用 Pod 安全标准受限政策限制条件

政策控制器提供一个默认的限制条件模板库，您可以将该库与 Pod 安全标准受限捆绑包搭配使用。此捆绑包可让您实现许多与 Kubernetes Pod 安全标准 (PSS) 受限政策相同的保护措施，并且能够在实施政策之前对其进行测试，还可以排除特定范围的资源。

该包包含以下限制条件，它们与 Kubernetes Pod 安全标准 (PSS) 受限政策的控制措施相对应：

限制条件名称	限制条件说明	控件名称
pss-restricted-v2022-psp-volume-types	使用卷类型	卷类型
pss-restricted-v2022-privilege-escalation	限制升级到 root 特权	提升权限
pss-restricted-v2022-running-as-non-root	容器的 `runAsNonRoot` 值	以非根用户身份运行
pss-restricted-v2022-running-as-non-root-user	容器的用户 ID	以非根用户身份运行
pss-restricted-v2022-seccomp	容器使用的 seccomp 配置文件	Seccomp
pss-restricted-v2022-capabilities	Linux 功能	功能

须知事项

安装并初始化 Google Cloud CLI，它提供了以下说明中使用的 gcloud 和 kubectl 命令。如果您使用 Cloud Shell，则系统会预安装 Google Cloud CLI。
在集群上安装 Policy Controller v1.11.1 或更高版本以及默认的限制条件模板库。

审核 Pod 安全标准受限政策包

政策控制器允许您为 Kubernetes 集群强制执行政策。为了帮助测试您的工作负载及其对上表中列出的 Google 推荐最佳实践的合规性，您可以在“审核”模式下部署这些限制条件以发现违规行为，更重要的是让您有机会在 Kubernetes 集群上强制执行之前处理这些违规行为。

您可以在 spec.enforcementAction 设置为 dryrun 的情况下，使用 kubectl、kpt 或 Config Sync 应用这些政策。

kubectl

（可选）使用 kubectl 预览政策限制条件：

kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pss-restricted-v2022

使用 kubectl 应用政策限制条件：

kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pss-restricted-v2022

输出如下所示：

k8spspallowprivilegeescalationcontainer.constraints.gatekeeper.sh/pss-restricted-v2022-privilege-escalation created
k8spspallowedusers.constraints.gatekeeper.sh/pss-restricted-v2022-running-as-non-root created
k8spspcapabilities.constraints.gatekeeper.sh/pss-restricted-v2022-capabilities created
k8spspseccomp.constraints.gatekeeper.sh/pss-restricted-v2022-seccomp created
k8spspvolumetypes.constraints.gatekeeper.sh/pss-restricted-v2022-psp-volume-types created

验证政策限制条件是否已安装，并检查集群中是否存在违规行为：

kubectl get -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pss-restricted-v2022

输出类似于以下内容：

NAME                                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspallowprivilegeescalationcontainer.constraints.gatekeeper.sh/pss-restricted-v2022-privilege-escalation   dryrun               0

NAME                                                                                    ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspallowedusers.constraints.gatekeeper.sh/pss-restricted-v2022-running-as-non-root   dryrun               0

NAME                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspcapabilities.constraints.gatekeeper.sh/pss-restricted-v2022-capabilities   dryrun               0

NAME                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspseccomp.constraints.gatekeeper.sh/pss-restricted-v2022-seccomp   dryrun               0

NAME                                                                                ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspvolumetypes.constraints.gatekeeper.sh/pss-restricted-v2022-psp-volume-types   dryrun               0

kpt

安装并设置 kpt。在这些说明中，kpt 用于自定义和部署 Kubernetes 资源。

使用 kpt 从 GitHub 下载 Pod 安全标准 (PSS) 受限 v2022 政策捆绑包：

kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pss-restricted-v2022

运行 set-enforcement-action kpt 函数将政策的违规处置措施设置为 dryrun：

kpt fn eval pss-restricted-v2022 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
  -- enforcementAction=dryrun

使用 kpt 初始化工作目录，此操作会创建一个资源来跟踪更改：
```
cd pss-restricted-v2022
kpt live init
```
使用 kpt 应用政策限制条件：
```
kpt live apply
```
验证政策限制条件是否已安装，并检查集群中是否存在违规行为：
```
kpt live status --output table --poll-until current
```
状态为 CURRENT，即确认限制条件成功安装。

Config Sync

安装并设置 kpt。在这些说明中，kpt 用于自定义和部署 Kubernetes 资源。

使用 Config Sync 将政策部署到其集群的运维人员可以按照以下说明操作：

更改为 Config Sync 的同步目录：
```
cd SYNC_ROOT_DIR
```
注意：Kpt v1.0.0-beta.17 及更高版本会在 live init 期间自动创建不应签入您的 Config Sync 代码库的 resourcegroup.yaml 文件。如果 resourcegroup.yaml 不存在，请将其添加到代码库的 .gitignore 文件中。

如需创建 resourcegroup.yaml 或将其附加到 .gitignore，请运行以下命令：
```
echo resourcegroup.yaml >> .gitignore
```
创建一个专用的 policies 目录：
```
mkdir -p policies
```

使用 kpt 从 GitHub 下载 Pod 安全标准 (PSS) 受限 v2022 政策捆绑包：

kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pss-restricted-v2022 policies/pss-restricted-v2022

运行 set-enforcement-action kpt 函数将政策的违规处置措施设置为 dryrun：

kpt fn eval policies/pss-restricted-v2022 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun

（可选）预览待创建的政策限制条件：

kpt live init policies/pss-restricted-v2022
kpt live apply --dry-run policies/pss-restricted-v2022

如果 Config Sync 的同步目录使用 Kustomize，请将 policies/pss-baseline-v2022 添加到根 kustomization.yaml。否则，请移除 policies/pss-baseline-v2022/kustomization.yaml 文件：
```
rm SYNC_ROOT_DIR/policies/pss-baseline-v2022/kustomization.yaml
```

将更改推送到 Config Sync 代码库：

git add SYNC_ROOT_DIR/policies/pss-restricted-v2022
git commit -m 'Adding Pod Security Standards Restricted audit enforcement'
git push

验证安装状态：

watch gcloud beta container fleet config-management status --project PROJECT_ID

状态 SYNCED 用于确认政策的安装情况。

查看违规问题

在审核模式下安装政策限制条件后，您可以使用政策控制器信息中心在界面中查看集群的违规问题。

您还可以使用 kubectl 来通过以下命令查看针对集群的违规行为：

kubectl get constraint -l policycontroller.gke.io/bundleName=pss-restricted-v2022 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

如果存在违规行为，您可以使用以下命令查看每个限制条件的违规消息列表：

kubectl get constraint -l policycontroller.gke.io/bundleName=pss-restricted-v2022 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

更改 Pod 安全标准受限政策包强制执行操作

查看集群上的政策违规情况后，您可以考虑更改强制执行模式，以便准入控制器发出 warn，甚至 deny 屏蔽不合规资源应用于集群。

kubectl

使用 kubectl 将政策的强制执行操作设置为 warn：

kubectl get constraint -l policycontroller.gke.io/bundleName=pss-restricted-v2022 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'

验证政策限制条件强制执行措施是否已更新：

kubectl get constraint -l policycontroller.gke.io/bundleName=pss-restricted-v2022

kpt

运行 set-enforcement-action kpt 函数将政策的强制执行操作设置为 warn：

kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

应用政策限制条件：
```
kpt live apply
```

Config Sync

使用 Config Sync 将政策部署到其集群的运维人员可以按照以下说明操作：

更改为 Config Sync 的同步目录：
```
cd SYNC_ROOT_DIR
```

运行 set-enforcement-action kpt 函数将政策的强制执行操作设置为 warn：

kpt fn eval policies/pss-restricted-v2022 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

将更改推送到 Config Sync 代码库：

git add SYNC_ROOT_DIR/pss-restricted-v2022
git commit -m 'Adding Pod Security Standards Restricted policy bundle warn enforcement'
git push

验证安装状态：
```
gcloud alpha anthos config sync repo list --project PROJECT_ID
```
在 SYNCED 列中显示的代码库将确认政策的安装情况。

测试政策执行情况

使用以下命令在集群上创建不合规的资源：

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
    - image: wordpress
      name: wordpress
      ports:
      - containerPort: 80
        hostPort: 80
        name: wordpress
EOF

准入控制器应生成一个警告列表，其中列出了此资源违反政策的行为，如以下示例所示：

Warning: [pss-baseline-v2022-host-ports] The specified hostNetwork and hostPort are not allowed, pod: wp-non-compliant. Allowed values: {"max": 0, "min": 0}
pod/wp-non-compliant created

移除 Pod 安全标准受限政策包

如果需要，您可以从集群中移除 Pod 安全标准受限政策包。

kubectl

使用 kubectl 移除政策：

kubectl delete constraint -l policycontroller.gke.io/bundleName=pss-restricted-v2022

kpt

移除政策：
```
kpt live destroy
```

Config Sync

使用 Config Sync 将政策部署到其集群的运维人员可以按照以下说明操作：

将更改推送到 Config Sync 代码库：

git rm -r SYNC_ROOT_DIR/policies/pss-restricted-v2022
git commit -m 'Removing Pod Security Standards Restricted policies'
git push

验证状态：
```
gcloud alpha anthos config sync repo list --project PROJECT_ID
```
SYNCED 列中显示您的代码库即表示政策移除成功。