Rancher在CIS加固的RKE2集群上的安装问题与解决方案

问题背景

在Kubernetes环境中，安全加固是一个重要的考虑因素。RKE2作为Rancher Kubernetes Engine的下一代产品，提供了CIS(互联网安全中心)安全基准的合规性支持。当用户在RKE2集群中启用profile: "cis"配置时，会触发Kubernetes Pod安全标准(Pod Security Standards)的严格限制。

问题现象

在启用CIS配置的RKE2集群(v1.31.2+rke2r1)上安装Rancher(v2.10.1)时，会遇到PodSecurity准入控制器的拦截，具体表现为以下安全策略违规：

1. 容器未设置securityContext.allowPrivilegeEscalation=false
2. 容器未丢弃所有Linux能力(capabilities.drop=["ALL"])
3. 容器未设置以非root用户运行(runAsNonRoot=true)
4. 未配置seccomp安全配置文件(seccompProfile.type未设置为"RuntimeDefault"或"Localhost")

这些限制是Kubernetes Pod安全标准"restricted"级别的要求，旨在提供最高级别的容器隔离和安全性。

解决方案

Pod安全准入豁免配置

通过在RKE2配置中添加Pod安全准入(Pod Security Admission)的豁免配置，可以解决Rancher组件在CIS加固环境下的安装问题。具体步骤如下：

1. 创建Pod安全准入配置文件/etc/rancher/rke2/rke2-pss-rancher.yaml，内容如下：

apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
  configuration:
    apiVersion: pod-security.admission.config.k8s.io/v1beta1
    kind: PodSecurityConfiguration
    defaults:
      enforce: "restricted"
      enforce-version: "latest"
      audit: "restricted"
      audit-version: "latest"
      warn: "restricted"
      warn-version: "latest"
    exemptions:
      usernames: []
      runtimeClasses: []
      namespaces: 
        - cattle-alerting
        - cattle-fleet-local-system
        - cattle-fleet-system
        - cattle-global-data
        - cattle-impersonation-system
        - cattle-monitoring-system
        - cattle-prometheus
        - cattle-resources-system
        - cattle-system
        - cattle-ui-plugin-system
        - cert-manager
        - cis-operator-system
        - fleet-default
        - ingress-nginx
        - kube-node-lease
        - kube-public
        - kube-system
        - rancher-alerting-drivers

2. 在RKE2主配置文件/etc/rancher/rke2/config.yaml中添加引用：

pod-security-admission-config-file: /etc/rancher/rke2/rke2-pss-rancher.yaml

技术原理

Pod安全标准(Pod Security Standards)

Kubernetes Pod安全标准定义了三个策略级别：

1. Privileged: 无限制策略，提供最大范围的权限
2. Baseline: 最小限制策略，防止已知的特权升级
3. Restricted: 高度限制策略，遵循当前Pod安全的最佳实践

CIS加固的RKE2集群默认采用"restricted"级别，这也是最严格的安全级别。

Pod安全准入控制器

Pod安全准入控制器是Kubernetes 1.23+中引入的机制，用于替代旧的Pod安全策略(PSP)。它通过三种模式运作：

1. enforce: 违反策略的Pod将被拒绝
2. audit: 违反策略会触发审计日志但允许创建
3. warn: 向用户显示警告但允许创建

在解决方案中，我们为Rancher相关的命名空间配置了豁免，使得这些命名空间中的Pod可以不受"restricted"级别的严格限制。

最佳实践建议

1. 最小化豁免范围：只豁免必要的命名空间，避免过度放宽安全限制
2. 定期审计：即使配置了豁免，也应定期检查这些命名空间中Pod的安全配置
3. 逐步合规：长期目标应该是使Rancher组件逐步符合"restricted"级别的所有要求
4. 版本升级注意：在升级Rancher或RKE2版本时，应重新评估安全配置的兼容性

总结

在CIS加固的Kubernetes环境中运行Rancher需要特别注意Pod安全标准的限制。通过合理配置Pod安全准入控制器的豁免规则，可以在保持集群整体安全性的同时，确保Rancher管理平台的正常运行。这种方案既满足了安全合规要求，又提供了必要的灵活性，是生产环境中平衡安全性与可用性的有效方法。