将 PodSecurityPolicy 映射到 Pod 安全标准

下表列出了 PodSecurityPolicy 对象上的配置参数，该字段是否会修改和/或验证 Pod，以及配置值如何映射到 Pod 安全标准。

对于每个适用的参数，列出了 Baseline 和 Restricted 配置文件的允许值。超出这些配置文件允许值的任何内容都将归入 Privileged 配置文件。“无意见”表示所有值在所有 Pod 安全标准下都允许。

有关分步迁移指南，请参阅从 PodSecurityPolicy 迁移到内置 Pod 安全准入控制器。

PodSecurityPolicy 规范

此表中枚举的字段是 PodSecurityPolicySpec 的一部分，该字段在 .spec 字段路径下指定。

将 PodSecurityPolicySpec 字段映射到 Pod 安全标准
`PodSecurityPolicySpec`	类型	Pod 安全标准等效项
`privileged`	验证	Baseline & Restricted：`false` / 未定义 / nil
`defaultAddCapabilities`	修改 & 验证	需求与下面的 `allowedCapabilities` 匹配。
`allowedCapabilities`	验证	Baseline：子集 `AUDIT_WRITE` `CHOWN` `DAC_OVERRIDE` `FOWNER` `FSETID` `KILL` `MKNOD` `NET_BIND_SERVICE` `SETFCAP` `SETGID` `SETPCAP` `SETUID` `SYS_CHROOT` Restricted：空 / 未定义 / nil 或包含仅 `NET_BIND_SERVICE` 的列表
`requiredDropCapabilities`	修改 & 验证	Baseline：无意见 Restricted：必须包含 `ALL`
`volumes`	验证	Baseline：除以下之外的任何内容 `hostPath` `` Restricted*：子集 `configMap` `csi` `downwardAPI` `emptyDir` `ephemeral` `persistentVolumeClaim` `projected` `secret`
`hostNetwork`	验证	Baseline & Restricted：`false` / 未定义 / nil
`hostPorts`	验证	Baseline & Restricted：未定义 / nil / 空
`hostPID`	验证	Baseline & Restricted：`false` / 未定义 / nil
`hostIPC`	验证	Baseline & Restricted：`false` / 未定义 / nil
`seLinux`	修改 & 验证	Baseline & Restricted：`seLinux.rule` 为 `MustRunAs`，具有以下 `options` `user` 未设置 (`""` / 未定义 / nil) `role` 未设置 (`""` / 未定义 / nil) `type` 未设置或为以下之一：`container_t, container_init_t, container_kvm_t, container_engine_t` `level` 为任何值
`runAsUser`	修改 & 验证	Baseline：任何值 Restricted：`rule` 为 `MustRunAsNonRoot`
`runAsGroup`	修改 (MustRunAs) & 验证	无意见
`supplementalGroups`	修改 & 验证	无意见
`fsGroup`	修改 & 验证	无意见
`readOnlyRootFilesystem`	修改 & 验证	无意见
`defaultAllowPrivilegeEscalation`	修改	无意见 (非验证)
`allowPrivilegeEscalation`	修改 & 验证	仅当设置为 `false` 时才进行修改 Baseline：无意见 Restricted：`false`
`allowedHostPaths`	验证	无意见（卷优先）
`allowedFlexVolumes`	验证	无意见（卷优先）
`allowedCSIDrivers`	验证	无意见（卷优先）
`allowedUnsafeSysctls`	验证	Baseline & Restricted：未定义 / nil / 空
`forbiddenSysctls`	验证	无意见
`allowedProcMountTypes` (alpha 功能)	验证	Baseline & Restricted：`["Default"]` 或未定义 / nil / 空
`runtimeClass` `.defaultRuntimeClassName`	修改	无意见
`runtimeClass` `.allowedRuntimeClassNames`	验证	无意见

PodSecurityPolicy 注解

此表中枚举的注解可以在 PodSecurityPolicy 对象的 .metadata.annotations 下指定。

将 PodSecurityPolicy 注解映射到 Pod 安全标准
`PSP 注解`	类型	Pod 安全标准等效项
`seccomp.security.alpha.kubernetes.io` `/defaultProfileName`	修改	无意见
`seccomp.security.alpha.kubernetes.io` `/allowedProfileNames`	验证	Baseline：`"runtime/default,"` （末尾逗号以允许未设置） Restricted：`"runtime/default"` （无末尾逗号） `localhost/` 值也允许用于 Baseline & Restricted。*
`apparmor.security.beta.kubernetes.io` `/defaultProfileName`	修改	无意见
`apparmor.security.beta.kubernetes.io` `/allowedProfileNames`	验证	Baseline：`"runtime/default,"` （末尾逗号以允许未设置） Restricted：`"runtime/default"` （无末尾逗号） `localhost/` 值也允许用于 Baseline & Restricted。*

上次修改时间：2024 年 7 月 23 日下午 12:19 PST：PSS: add container_engine_t to allowed list of selinux types (06aff012a2)

将 PodSecurityPolicy 映射到 Pod 安全标准

PodSecurityPolicy 规范

PodSecurityPolicy 注解

反馈