---

title: Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper）

keywords:

• PSS
• Admission
• Gatekeeper
• Pod 安全
• 最小权限

description: 以 PSS 为基础，结合 Admission 与 OPA Gatekeeper 实施 Pod 级安全策略与校验，保障最小权限与合规并提供验证方法。

date: 2025-11-26

categories:

• 文章资讯
• 技术教程

---

Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper）

概述

PSS 用于替代 PSP，定义 restricted/baseline/privileged 等安全级别。配合 Admission/Gatekeeper 可强制校验安全策略与最小权限。

关键实践与参数

• 级别选择：生产推荐 restricted；禁止特权、宿主路径挂载与不安全能力。
• Admission：使用 ValidatingAdmissionPolicy 或 Gatekeeper 在准入阶段校验。
• 最小权限：runAsNonRoot、readOnlyRootFilesystem、能力白名单与 NetworkPolicy。

示例（Gatekeeper 片段）

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPRestricted
metadata:
  name: pss-restricted
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]

验证方法

• 提交不合规 Pod 并确认被拒绝；审计日志记录原因。
• 观察命名空间的策略覆盖与例外名单；灰度上线策略。
• 演练升级与回滚，确保策略变更不影响关键服务。

注意事项

• 自定义资源的健康与误判需完善验证；避免误杀。
• 与 ServiceAccount/RBAC 联动；防止权限扩大。
• 策略版本化与审计，保障长期演进与合规。