Kubernetes 1.25 마이그레이션

Kubernetes 1.25에서 PodSecurityPolicy 제거에 대비하는 방법

PodSecurityPolicy(PSP)는 Kubernetes 1.22에서 더 이상 사용되지 않으며 Kubernetes 1.25에서 제거됩니다. 이 페이지에서는 이러한 변경이 Teleport 사용자에게 미치는 보안 영향과 필요한 조치를 설명합니다. 두 Teleport 차트 teleport-cluster 와 teleport-kube-agent 는 Teleport 파드에 추가적인 보안 레이어를 제공하기 위해 PodSecurityPolicy에 의존하고 있었습니다. 이들의 제거로 두 가지 주요 결과가 발생합니다: 1.25로 업그레이드한 후 Helm이 PSP 오브젝트를 참조하는 손상된 상태로 끝날 수 있습니다. 이 경우 Helm 릴리스 상태를 수동으로 수정해야 합니다. 1.23부터 PodSecurityAdmission(PSA)에 의해 보안 정책 적용이 관리됩니다. PSA 보안 레벨은 Helm이 관리하지 않는 namespace 리소스에서 구성됩니다. 이제 차트가 이를 수행할 수 없으므로 보안 적용 레벨을 직접 설정해야 합니다. 1.25 업그레이드를 준비하려면: 최소한 Kubernetes 1.23을 실행 중인지 확인합니다( kubectl version 실행) 차트를 배포하는 네임스페이스에 PSA 적용 레벨 레이블을 지정합니다: $ kubectl label namespace my-teleport-namespace 'pod-security.kubernetes.io/enforce=baseline' namespace/my-teleport-namespace labeled podSecurityPolicy.enabled: false 를 설정하고 Helm 릴리스를 업그레이드하여 차트에서 PSP 배포를 명시적으로 비활성화합니다. 모든 Teleport 네임스페이스에 적절한 PodSecurityStandard 레이블이 지정되고, 모든 Helm 릴리스가 PSP가 비활성화된 상태로 최소한 한 번 업그레이드되면 안전하게 1.25로 업그레이드할 수 있습니다.