Rancher在启用CIS配置文件的RKE2集群上的部署问题解析

问题背景

在Kubernetes安全管理实践中，CIS(Center for Internet Security)基准测试是广泛认可的安全配置标准。RKE2作为Rancher开发的轻量级Kubernetes发行版，提供了内置的CIS安全加固功能。然而，当用户在启用CIS配置文件的RKE2集群上部署Rancher管理平台时，会遇到Pod安全策略相关的部署失败问题。

问题现象

当RKE2集群配置了profile: cis参数后，Rancher的Pod创建会被Kubernetes的Pod安全准入控制器拦截。具体表现为：

1. Rancher的ReplicaSet无法创建Pod
2. 系统报错显示违反了Pod安全标准"restricted:latest"的多项要求：
   • 未禁用特权升级(allowPrivilegeEscalation)
   • 未限制容器能力(capabilities)
   • 未设置非root用户运行(runAsNonRoot)
   • 未配置seccomp安全配置文件

技术原理分析

RKE2的CIS配置文件启用了Kubernetes的Pod安全准入控制(Pod Security Admission)，这是Kubernetes 1.23+版本引入的安全机制，取代了原有的PodSecurityPolicy(PSP)。该机制定义了三个安全级别：

1. Privileged：无限制，最高权限
2. Baseline：最低限制，防止已知的权限提升问题
3. Restricted：最严格限制，遵循当前Pod安全标准的最佳实践

RKE2的CIS配置默认启用了Restricted级别的安全策略，而Rancher的部分组件由于历史原因和功能需求，需要一些额外的权限才能正常运行。

解决方案

要解决这个问题，需要为Rancher相关的命名空间配置安全豁免。具体方法是在RKE2的配置中为Rancher使用的命名空间(如cattle-system)添加Pod安全豁免标签。这可以通过以下方式实现：

1. 在RKE2的配置文件/etc/rancher/rke2/config.yaml中添加：

   pod-security-admission-config-file: /etc/rancher/rke2/psa.yaml
   

2. 创建对应的PSA配置文件/etc/rancher/rke2/psa.yaml，内容示例：

   apiVersion: apiserver.config.k8s.io/v1
   kind: AdmissionConfiguration
   plugins:
   - name: PodSecurity
     configuration:
       defaults:
         enforce: "restricted"
         enforce-version: "latest"
       exemptions:
         usernames: []
         runtimeClasses: []
         namespaces: [ "kube-system", "cattle-system" ]
   

3. 重启RKE2服务使配置生效

安全考量

虽然豁免了Rancher命名空间的严格安全策略，但仍需注意：

1. 仅豁免必要的命名空间，不要过度放宽安全策略
2. 定期审计豁免命名空间中的工作负载
3. 考虑使用网络策略等其他安全机制进行补偿控制
4. 关注Rancher的更新，未来版本可能会原生支持更严格的安全策略

最佳实践建议

1. 在非生产环境先测试安全配置
2. 使用最小权限原则，只授予必要的权限
3. 建立持续的安全监控机制
4. 定期复查安全配置是否仍然适用

通过以上方法，可以在保持RKE2集群整体安全性的同时，确保Rancher管理平台的正常运行。这种平衡安全性和功能性的方法，是生产环境Kubernetes管理的常见实践。