התכונה PodSecurityPolicy (בטא) הוצאה משימוש ב-Kubernetes בגרסה 1.21 והוסרה בגרסה 1.25. מידע נוסף זמין בפוסט בבלוג בנושא הוצאה משימוש של PodSecurityPolicy. באשכולות Google Kubernetes Engine (GKE) שמריצים גרסה 1.25 ואילך, אי אפשר יותר להשתמש ב-PodSecurityPolicy, ולכן צריך להשבית את התכונה לפני שמשדרגים לגרסה 1.25 ואילך. הוראות מפורטות מופיעות במאמר העברה מ-PodSecurityPolicy.
חלופות ל-PodSecurityPolicy
אם אתם רוצים להמשיך להשתמש באמצעי בקרה לאבטחה ברמת ה-Pod ב-GKE, אנחנו ממליצים על אחד מהפתרונות הבאים:
שימוש ב-
PodSecurityadmission controller: אתם יכולים להשתמש ב-PodSecurityadmission controller כדי להחיל את תקני אבטחת ה-Pod על ה-Pods שפועלים באשכולות GKE Standard ו-Autopilot. סטנדרטים לאבטחת Pod הם כללי מדיניות אבטחה מוגדרים מראש שעונים על הצרכים ברמה הגבוהה של אבטחת Pod ב-Kubernetes. כללי המדיניות האלה מצטברים, והם נעים בין כללי מדיניות מקלים מאוד לבין כללי מדיניות מגבילים מאוד.כדי להעביר את ההגדרה הקיימת של PodSecurityPolicy אל
PodSecurity, אפשר להיעזר במאמר העברה מ-PodSecurityPolicy.שימוש ב-Policy Controller עם חבילת Pod Security Policy: בעזרת Policy Controller אפשר להחיל ולאכוף מדיניות אבטחה באשכולות GKE. Policy Controller bundles, כמו Pod Security Policy bundle, מאפשרים לאכוף את אותם אימותים כמו PodSecurityPolicy עם יכולות כמו הרצה יבשה ושליטה מפורטת בכיסוי המשאבים.
מידע נוסף זמין במאמר בנושא שימוש בחבילת מדיניות האבטחה של Policy Controller.
שימוש ב-Gatekeeper: באשכולות GKE Standard אפשר להחיל מדיניות אבטחה באמצעות Gatekeeper. אתם יכולים להשתמש ב-Gatekeeper כדי לאכוף את אותן היכולות כמו ב-PodSecurityPolicy, וגם כדי ליהנות מפונקציות אחרות כמו הרצת בדיקה, השקות הדרגתיות וביקורת.
מידע נוסף זמין במאמר בנושא החלת מדיניות אבטחה מותאמת אישית ברמת ה-Pod באמצעות Gatekeeper.
שימוש באשכולות GKE Autopilot: אשכולות GKE Autopilot מיישמים כברירת מחדל הרבה ממדיניות האבטחה המומלצת.
מידע נוסף זמין במאמר סקירה כללית על Autopilot.
צפייה בתובנות ובהמלצות לגבי הוצאה משימוש
כדי לבדוק באילו אשכולות נעשה שימוש בתכונה הזו שיצאה משימוש, אפשר להשתמש בתובנות לגבי הוצאה משימוש. תובנות לגבי הוצאה משימוש של התכונה הזו נתמכות באשכולות שפועלת בהם כל גרסה של GKE.