From 31e3e69fdeb67216f4ab8fb9edbab67bee39e8a3 Mon Sep 17 00:00:00 2001 From: "donatohorn@gmail.com" Date: Tue, 19 Jul 2022 00:01:25 -0300 Subject: [PATCH 1/4] [pt-br] add content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md --- .../enforce-standards-namespace-labels.md | 103 ++++++++++++++++++ 1 file changed, 103 insertions(+) create mode 100644 content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md diff --git a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md new file mode 100644 index 0000000000..d510bfdfae --- /dev/null +++ b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md @@ -0,0 +1,103 @@ +--- +title: Aplicando Padrões de Segurança de Pod com Labels em Namespace +update_date: 2022-07-18 +origin_version: 1.24 +contributors: DonatoHorn +reviewers: +- tallclair +- liggitt +content_type: task +min-kubernetes-server-version: v1.22 +--- + +Os namespaces podem ser rotulados para aplicar os [Padrões de segurança de pod] +(/docs/concepts/security/pod-security-standards). As três políticas +[privilegiado](/docs/concepts/security/pod-security-standards/#privileged), +[linha de base](/docs/concepts/security/pod-security-standards/#baseline) +e [restrito](/docs/concepts/security/pod-security-standards/#restricted) +cobrem amplamente o espectro de segurança e são implementados pela +[segurança de Pod](/docs/concepts/security/pod-security-admission/) +{{< glossary_tooltip text="controlador de admissão" term_id="admission-controller" >}}. + +## {{% heading "prerequisites" %}} + +{{% version-check %}} + +- Garantir que a `PodSecurity` do [portal de funcionalidades] +(/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) +está habilitada. + +## Exigindo a `baseline` padrão de segurança de pod com labels em namespace + +Este manifesto define um Namespace `my-baseline-namespace` que: + +- _Bloqueia_ quaisquer Pods que não satisfazem os requisitos da política `baseline`. +- Gera um aviso para o usuário e adiciona uma anotação de auditoria, a qualquer +pod criado que não satisfaça os requisitos da política `restricted`. +- Fixa as versões das políticas `baseline` e `restricted` à v{{< skew currentVersion >}}. + +```yaml +apiVersion: v1 +kind: Namespace +metadata: + name: my-baseline-namespace + labels: + pod-security.kubernetes.io/enforce: baseline + pod-security.kubernetes.io/enforce-version: v{{< skew currentVersion >}} + + # Estamos definindo-os para o nosso nível _desejado_ `enforce`. + pod-security.kubernetes.io/audit: restricted + pod-security.kubernetes.io/audit-version: v{{< skew currentVersion >}} + pod-security.kubernetes.io/warn: restricted + pod-security.kubernetes.io/warn-version: v{{< skew currentVersion >}} +``` + +## Adicionar Rótulos aos Namespaces Existentes com `kubectl label` + +{{< note >}} +Quando uma política de label `enforce` (ou version) é adicionada our modificada, +O plugin de admissão testará cada Pod no namespace contra a nova política. +Violações são devolvidas ao usuário como avisos. +{{< /note >}} + +É útil aplicar a flag `--dry-run` ao avaliar inicialmente as alterações +do perfil de segurança para namespaces. As verificações padrão de segurança +do pod ainda serão executadas em _dry run_ mode, dando-lhe informações sobre +como a nova política trataria os pods existentes, sem realmente atualizar a política. + +```shell +kubectl label --dry-run=server --overwrite ns --all \ + pod-security.kubernetes.io/enforce=baseline +``` + +### Aplicando a todos os namespaces + +Se você está apenas começando com os padrões de segurança de pod, um primeiro passo +adequado seria configurar todos namespaces com anotações de auditoria para um +nível mais rigoroso, como `baseline`: + +```shell +kubectl label --overwrite ns --all \ + pod-security.kubernetes.io/audit=baseline \ + pod-security.kubernetes.io/warn=baseline +``` + +Observe que isso não está aplicando as definições de nível, para que os namespaces +que não foram explicitamente avaliados possam ser distinguidos. Você pode listar +os namespaces sem um nível aplicado, explicitamente definido, usando este comando: + +```shell +kubectl get namespaces --selector='!pod-security.kubernetes.io/enforce' +``` + +### Aplicando a um único namespace + +Você pode atualizar um namespace específico também. Este comando adiciona a política +`enforce=restricted` ao `my-existing-namespace`, fixando a política que restringe +à versão v{{< skew currentVersion >}}. + +```shell +kubectl label --overwrite ns my-existing-namespace \ + pod-security.kubernetes.io/enforce=restricted \ + pod-security.kubernetes.io/enforce-version=v{{< skew currentVersion >}} +``` From 4fd54f4b637296ca1604151954dc9c5265affb75 Mon Sep 17 00:00:00 2001 From: "donatohorn@gmail.com" Date: Fri, 22 Jul 2022 15:53:01 -0300 Subject: [PATCH 2/4] [pt-br] add content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md --- .../enforce-standards-namespace-labels.md | 7 ++----- 1 file changed, 2 insertions(+), 5 deletions(-) diff --git a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md index d510bfdfae..88d86bde13 100644 --- a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md +++ b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md @@ -1,8 +1,5 @@ --- -title: Aplicando Padrões de Segurança de Pod com Labels em Namespace -update_date: 2022-07-18 -origin_version: 1.24 -contributors: DonatoHorn +title: Aplicando Padrões de Segurança de Pod com `Labels` em Namespace reviewers: - tallclair - liggitt @@ -27,7 +24,7 @@ cobrem amplamente o espectro de segurança e são implementados pela (/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) está habilitada. -## Exigindo a `baseline` padrão de segurança de pod com labels em namespace +## Exigindo o padrão de segurança `baseline` de pod com rótulos em namespace Este manifesto define um Namespace `my-baseline-namespace` que: From 31098ad639302bf6d103185a9e044feae69b4849 Mon Sep 17 00:00:00 2001 From: "donatohorn@gmail.com" Date: Sun, 5 Mar 2023 13:15:33 +1300 Subject: [PATCH 3/4] [pt-br] Add content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md --- .../enforce-standards-namespace-labels.md | 10 ++++------ 1 file changed, 4 insertions(+), 6 deletions(-) diff --git a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md index 88d86bde13..76e7aef0b3 100644 --- a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md +++ b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md @@ -7,8 +7,7 @@ content_type: task min-kubernetes-server-version: v1.22 --- -Os namespaces podem ser rotulados para aplicar os [Padrões de segurança de pod] -(/docs/concepts/security/pod-security-standards). As três políticas +Os namespaces podem ser rotulados para aplicar os [Padrões de segurança de pod](/docs/concepts/security/pod-security-standards). As três políticas [privilegiado](/docs/concepts/security/pod-security-standards/#privileged), [linha de base](/docs/concepts/security/pod-security-standards/#baseline) e [restrito](/docs/concepts/security/pod-security-standards/#restricted) @@ -20,8 +19,7 @@ cobrem amplamente o espectro de segurança e são implementados pela {{% version-check %}} -- Garantir que a `PodSecurity` do [portal de funcionalidades] -(/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) +- Garantir que a `PodSecurity` do [portal de funcionalidades](/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) está habilitada. ## Exigindo o padrão de segurança `baseline` de pod com rótulos em namespace @@ -52,14 +50,14 @@ metadata: ## Adicionar Rótulos aos Namespaces Existentes com `kubectl label` {{< note >}} -Quando uma política de label `enforce` (ou version) é adicionada our modificada, +Quando um rótulo de política `enforce` (ou version) é adicionada ou modificada, O plugin de admissão testará cada Pod no namespace contra a nova política. Violações são devolvidas ao usuário como avisos. {{< /note >}} É útil aplicar a flag `--dry-run` ao avaliar inicialmente as alterações do perfil de segurança para namespaces. As verificações padrão de segurança -do pod ainda serão executadas em _dry run_ mode, dando-lhe informações sobre +do pod ainda serão executadas em modo _dry run_, dando-lhe informações sobre como a nova política trataria os pods existentes, sem realmente atualizar a política. ```shell From 7b00e7cf308253c0f5394a4bc394f5633c459946 Mon Sep 17 00:00:00 2001 From: "donatohorn@gmail.com" Date: Fri, 26 May 2023 13:21:40 +1200 Subject: [PATCH 4/4] [pt-br] Add content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md Signed-off-by: donatohorn@gmail.com --- .../enforce-standards-namespace-labels.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md index 76e7aef0b3..ddd32f0984 100644 --- a/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md +++ b/content/pt-br/docs/tasks/configure-pod-container/enforce-standards-namespace-labels.md @@ -20,7 +20,7 @@ cobrem amplamente o espectro de segurança e são implementados pela {{% version-check %}} - Garantir que a `PodSecurity` do [portal de funcionalidades](/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-alpha-or-beta-features) -está habilitada. +esteja habilitada. ## Exigindo o padrão de segurança `baseline` de pod com rótulos em namespace