k8s-security-policies
实施Kubernetes安全策略,包括网络策略(NetworkPolicy)、Pod安全策略(PodSecurityPolicy)以及基于角色的访问控制(RBAC),以实现生产级安全防护。适用于保护Kubernetes集群安全、实施网络隔离或强制实施Pod安全标准时使用。
作者
分类
其他工具安装
热度:13
下载并解压到你的 skills 目录
复制命令,发送给 OpenClaw 自动安装:
下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-k8s-security-policies&locale=zh&source=copy
Kubernetes Security Policies
技能概述
实现生产级 Kubernetes 集群的安全策略,包括 NetworkPolicy 网络隔离、Pod Security Standards、RBAC 权限控制和准入控制规则。
适用场景
为 Kubernetes 生产集群配置多层安全防护,包括网络分段、容器安全标准和访问控制,满足企业安全合规要求。
在同一 Kubernetes 集群中隔离不同团队或应用的网络流量和资源访问权限,实现租户间的安全隔离。
通过 OPA Gatekeeper 或 Kyverno 实施准入控制,自动验证和强制执行安全策略,防止不安全的配置进入集群。
核心功能
提供 NetworkPolicy 模板和最佳实践,实现默认拒绝、按需放行的网络分段策略,包括 DNS 访问、服务间通信和外部出口控制。
配置 Pod Security Standards (Privileged/Baseline/Restricted) 三个安全级别,强制容器以非 root 用户运行、使用只读根文件系统和最小能力集。
创建最小权限的 Role 和 ClusterRole,通过 RoleBinding 精确控制 ServiceAccount 和用户的资源访问权限,支持权限验证和故障排查。
常见问题
NetworkPolicy 配置后为什么没有生效?
首先确认你的 CNI 网络插件支持 NetworkPolicy(如 Calico、Cilium、Weave Net)。可以使用 kubectl get nodes -o wide 查看使用的 CNI,并用 kubectl describe networkpolicy <name> 检查策略详情。常见原因包括:Pod 标签不匹配、端口协议配置错误、或 CNI 不支持策略功能。
Pod Security Policy 已弃用,应该用什么替代?
Pod Security Policy (PSP) 在 Kubernetes 1.25 中已正式移除,推荐使用 Pod Security Standards 作为替代方案。Pod Security Standards 通过 Namespace 标签配置三个级别(privileged/baseline/restricted),更加简单易用且与 Kubernetes 原生集成。
如何验证 Kubernetes RBAC 权限是否配置正确?
使用 kubectl auth can-i 命令模拟用户或 ServiceAccount 的权限检查:
kubectl auth can-i list pods --as system:serviceaccount:default:my-sa
kubectl auth can-i '*' '*' --as system:serviceaccount:default:my-sa这可以帮你确认角色绑定是否生效,以及用户是否有执行特定操作的权限。