K8s Pod 安全认知：从openshift SCC 到 PSP 弃用以及现在的 PSA

写在前面

---

• 简单整理，博文内容涉及：
  • PSP 的由来
  • PSA 的发展
  • PSA 使用认知
• 不涉及使用，用于了解 Pod 安全 API 资源
• 理解不足小伙伴帮忙指正

对每个人而言，真正的职责只有一个：找到自我。然后在心中坚守其一生，全心全意，永不停息。所有其它的路都是不完整的，是人的逃避方式，是对大众理想的懦弱回归，是随波逐流，是对内心的恐惧 ——赫尔曼·黑塞《德米安》

---

对于和 Docker 类似，通过 Linux namespace 和 Cgroup 实现的一类 容器技术，本质上，容器就是 宿主节点的一个进程，处于安全考虑，最小权限原则，在生产中，很少使用 Root 来运行一些业务进程，即很少通过 根用户 来运行相关容器。避免 特权升级，容器逃逸，以及利用不必要权限来增加意外操作或者恶意行为。

PSP 的由来

在 K8s 中，通过准入控制器来限制 Pod 的创建，当一个 apply 的 Pod 满足全部准入控制器时，才会被创建。对于 Pod 安全，K8s 也提供了自己的准入控制器。讲 K8s 的 安全策略，不得不提 openshift 的 SCC

Kubernetes 1.0 于 2015 年 7 月 10 日发布，除了 Alpha 阶段的 SecurityContextDeny 准入插件 （当时称为 scd