Kubernetes Pod Security Admission(PSA) 等级与标签配置

--- title: Kubernetes Pod Security Admission(PSA) 等级与标签配置 keywords: - PSA - restricted - baseline - privileged - pod-security.kubernetes.io description: 使用 PSA 为命名空间配置安全等级，通过标签强制或审计 restricted/baseline/privileged，提升集群安全基线。 categories: - 文章资讯 - 技术教程 --- # Kubernetes Pod Security Admission(PSA) 等级与标签配置 ## 命名空间标签示例 ```bash kubectl label namespace app \ pod-security.kubernetes.io/enforce=restricted \ pod-security.kubernetes.io/enforce-version=latest \ pod-security.kubernetes.io/audit=restricted \ pod-security.kubernetes.io/warn=baseline ``` ## 等级说明 - `restricted`：最严格，禁止特权、宿主路径、可写 rootFS 等 - `baseline`：基础安全，不允许大部分已知危险模式 - `privileged`：几乎无限制，仅用于受控环境 ## 验证 - 创建不符合 restricted 的 Pod 将被拒绝并给出原因 ## 总结 通过 PSA 标签，可在命名空间维度快速设定安全基线并进行审计与警告。