KubeArmor 主机安全策略配置指南：Kubernetes与非Kubernetes环境差异解析

KubeArmor作为一款强大的运行时安全防护工具，其主机安全策略(Host Security Policy)的配置方式在不同运行环境下存在关键差异。本文将深入解析Kubernetes环境与非Kubernetes环境下的策略配置要点，帮助用户避免常见的配置误区。

策略匹配标签的核心差异

KubeArmor的主机安全策略通过nodeSelector.matchLabels字段实现目标主机的匹配，但这一配置在两种环境下有本质区别：

1. Kubernetes集群环境
   当KubeArmor运行在Kubernetes集群中时，策略应使用标准的Kubernetes节点标签格式：

   spec:
     nodeSelector:
       matchLabels:
         kubernetes.io/hostname: "目标节点名称"
   

2. 非Kubernetes环境
   在系统服务模式(Systemd)或非编排环境(如Docker直接部署)下，必须使用KubeArmor专用标签格式：

   spec:
     nodeSelector:
       matchLabels:
         kubearmor.io/hostname: "*"  # 通配符表示匹配所有主机
   

典型配置错误场景分析

许多用户在非Kubernetes环境部署时，直接复制Kubernetes示例策略会导致策略失效。例如以下常见错误配置：

# 错误示例（非K8s环境使用k8s标签）
spec:
  nodeSelector:
    matchLabels:
      kubernetes.io/hostname: "*"

这种配置在系统服务模式下将完全无效，因为KubeArmor的系统服务模式不会自动识别Kubernetes标准的节点标签。

最佳实践建议

1. 环境识别
   部署前首先明确环境类型：

   • 通过kubectl get nodes可查询的为Kubernetes环境
   • 通过systemctl status kubearmor查看的为系统服务模式

2. 策略模板选择
   KubeArmor项目现已区分不同环境的示例策略：

   • hsp-k8s-前缀：Kubernetes集群专用
   • hsp-vm-前缀：虚拟机/裸机专用

3. 通配符使用
   在非Kubernetes环境中，kubearmor.io/hostname: "*"是匹配所有主机的标准写法，不可省略或修改为其他格式。

策略验证方法

部署策略后，可通过以下方式验证：

1. 查看KubeArmor日志：

   journalctl -u kubearmor -f
   

2. 测试策略效果，如文件访问限制策略是否生效
3. 使用karmor工具查询策略状态：

   karmor policy status
   

理解这些关键差异能帮助用户在各种环境下正确配置KubeArmor主机安全策略，构建有效的运行时防护体系。