Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper）

Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper）概述PSS 用于替代 PSP，定义 `restricted/baseline/privileged` 等安全级别。配合 Admission/Gatekeeper 可强制校验安全策略与最小权限。关键实践与参数级别选择：生产推荐 `restricted`；禁止特权、宿主路径挂载与不安全能力。Admission：使用 `ValidatingAdmissionPolicy` 或 Gatekeeper 在准入阶段校验。最小权限：`runAsNonRoot`、`readOnlyRootFilesystem`、能力白名单与 NetworkPolicy。示例（Gatekeeper 片段）apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPRestricted metadata: name: pss-restricted spec: match: kinds: - apiGroups: [""] kinds: ["Pod"] 验证方法提交不合规 Pod 并确认被拒绝；审计日志记录原因。观察命名空间的策略覆盖与例外名单；灰度上线策略。演练升级与回滚，确保策略变更不影响关键服务。注意事项自定义资源的健康与误判需完善验证；避免误杀。与 ServiceAccount/RBAC 联动；防止权限扩大。策略版本化与审计，保障长期演进与合规。