Rancher Logging 中 PodSecurityPolicy 资源的现代化演进

背景概述

在 Kubernetes 生态系统中，安全策略的演进是一个持续的过程。随着 Kubernetes v1.25 版本的发布，PodSecurityPolicy (PSP) 这一长期存在的安全机制被正式弃用并移除。这一变化影响了包括 Rancher Logging 在内的许多基于 Kubernetes 的日志管理解决方案。

PodSecurityPolicy 的历史与现状

PodSecurityPolicy 曾经是 Kubernetes 中控制 Pod 安全标准的核心机制，它允许集群管理员控制 Pod 可以使用的安全相关特性。然而，由于其复杂的授权模型和使用体验，Kubernetes 社区决定用更现代的 Pod Security Admission (PSA) 控制器来替代它。

在 Rancher Logging 的早期版本中，为了确保日志收集组件（如 Fluent Bit 或 Fluentd）能够以适当的安全上下文运行，系统包含了多个 PSP 资源定义。这些资源主要分布在：

• RKE 集群的 DaemonSet 配置中
• RKE2 集群的部署文件中
• K3s 环境的模板里

现代化改造的必要性

随着 Kubernetes 核心 API 的演进，继续保留这些 PSP 资源会导致：

1. 在 Kubernetes v1.25+ 集群上部署失败
2. 产生不必要的配置冗余
3. 无法利用更现代的 Pod 安全控制机制
4. 潜在的向后兼容性问题

解决方案与实现

Rancher Logging 团队通过以下方式完成了现代化改造：

1. 版本检测机制：在 chart 模板中增加了 API 版本检测逻辑，当目标集群不支持 PSP 时会给出明确的错误提示。

2. 资源清理：移除了所有显式的 PodSecurityPolicy 资源定义，包括：

   • RKE 相关配置
   • RKE2 部署文件
   • K3s 环境模板

3. 兼容性处理：确保修改后的 chart 能够：

   • 在支持 PSP 的旧版本 Kubernetes 上继续工作
   • 在新版本集群上无缝迁移到 PSA 机制

迁移建议

对于正在使用 Rancher Logging 的用户，建议采取以下步骤：

1. 评估集群版本：确认 Kubernetes 集群版本是否已经或即将升级到 v1.25+

2. 更新日志配置：

   • 升级到已移除 PSP 的新版本 Rancher Logging
   • 检查并配置适当的 Pod 安全标准

3. 安全策略转换：

   • 将原有的 PSP 规则转换为 PSA 或 OPA/Gatekeeper 策略
   • 验证新策略是否提供等效的安全控制

技术影响分析

这一变更带来的主要技术影响包括：

1. 简化部署：减少了部署时的配置复杂性
2. 标准统一：与 Kubernetes 核心安全模型保持一致
3. 未来兼容：为后续采用更新的安全机制（如 PSA）铺平道路
4. 维护简化：减少了需要维护的兼容性代码

最佳实践

对于运维团队，建议：

1. 在测试环境中验证日志收集组件在新安全模型下的行为
2. 建立适当的监控机制，确保安全策略变更不会影响日志收集功能
3. 文档化安全策略的变更过程，便于审计和问题排查
4. 考虑采用渐进式部署策略，逐步验证新配置

总结

Rancher Logging 中 PodSecurityPolicy 资源的现代化改造是 Kubernetes 生态系统持续演进的一个典型案例。这一变化不仅解决了 API 弃用带来的兼容性问题，也为采用更现代、更易用的安全机制奠定了基础。对于用户而言，及时跟进这些变更可以确保日志管理系统的长期稳定性和安全性。