Kubernetes Pod 安全强化与 PodSecurity 策略实践

概览与核心价值Pod 安全强化通过限制权限与隔离能力提升安全性。PodSecurity Admission（PSA）替代旧版 PSP，用命名空间级策略约束 Pod 行为。命名空间策略（PSA）apiVersion: v1

kind: Namespace

metadata:

name: secure

labels:

pod-security.kubernetes.io/enforce: restricted

pod-security.kubernetes.io/audit: restricted

pod-security.kubernetes.io/warn: restricted

安全上下文示例apiVersion: apps/v1

kind: Deployment

metadata:

name: app

namespace: secure

spec:

replicas: 2

selector:

matchLabels:

app: app

template:

metadata:

labels:

app: app

spec:

securityContext:

runAsNonRoot: true

seccompProfile:

type: RuntimeDefault

containers:

- name: app

image: ghcr.io/company/app:1.0.0

securityContext:

allowPrivilegeEscalation: false

capabilities:

drop: ["ALL"]

readOnlyRootFilesystem: true

参数与验证环境：`Kubernetes v1.28`。验证点：在 `secure` 命名空间创建不合规 Pod 将被拒绝合规 Pod 成功运行，`runAsNonRoot` 与 `readOnlyRootFilesystem` 生效`seccomp` 与 `capabilities` 配置可在容器中查看与验证最佳实践命名空间级别启用 `restricted`，逐步提高安全门槛在镜像构建阶段采用非 root 用户与最小化产物配合策略引擎（如 Gatekeeper）实施更细粒度约束结论通过 PSA 与安全上下文的组合，可在 Kubernetes 中实现 rootless、最小权限与策略化治理，验证简单有效。