---

title: Kubernetes Pod Security Admission基线与受限治理

keywords:

• PSA
• baseline
• restricted
• pod-security.kubernetes.io
• Admission

description: 通过 PSA 基线/受限策略在命名空间维度强制安全约束，替代 PodSecurityPolicy 并简化治理。

categories:

• 文章资讯
• 技术教程

---

Kubernetes Pod Security Admission基线与受限治理

概览

• PSA 在命名空间级应用安全约束，定义 privileged/baseline/restricted 三档策略。
• 通过标签配置 enforce/warn/audit 三类模式，分别强制、告警与审计。
• 用于禁止特权、提升、hostPath 等高风险配置。

技术参数（已验证）

• 标签：pod-security.kubernetes.io/enforce: restricted、pod-security.kubernetes.io/enforce-version: latest；可设置 warn 与 audit。
• 策略：restricted 要求不可特权、不可 root、只读文件系统（建议）、受控能力集、合理 seccomp/AppArmor。
• 范围：按命名空间设置；与 RBAC、准入控制器协同；替代已废弃的 PSP。
• 兼容：对系统命名空间设置合适级别；为运维工具保留必要权限。
• 观测：记录拒绝与告警事件；在上线前进行合规评估与演练。

实战清单

• 在新命名空间启用 restricted 并逐步推广；为不兼容工作负载进行整改。
• 配置 warn/audit 观察影响面；稳定后切到 enforce。
• 与镜像扫描与运行时防护协同；维持持续合规。
• Importance: 简化安全治理并降低高风险配置的入场概率。