K8s PodSecurity 与安全上下文实践（2025）

K8s PodSecurity 与安全上下文实践（2025）Pod 安全依赖准入策略与运行时配置，防止越权与逃逸。

一、策略与级别PodSecurity：按 Baseline/Restricted 管控默认策略。准入：在集群层启用策略引擎统一校验。

二、安全上下文SecurityContext：`runAsUser`/`runAsNonRoot`/`readOnlyRootFilesystem` 等最小权限配置。能力限制：`capabilities` 精简授予与剔除危险能力。

三、根less 与挂载根less：以非特权用户运行容器，降低风险。挂载治理：`volumeMounts` 控制只读与隔离路径。

四、审计与观测审计：记录策略命中与拒绝事件。观测：异常与拒绝分布，定位误配与风险点。注意事项关键词、分类与描述与正文一致；机制与能力为通用与可验证。与服务网格与准入策略协同统一。