Podセキュリティポリシー（ぽどせきゅりてぃーほりしー）

Podセキュリティポリシーとは

Podセキュリティポリシー（PSP）は、Kubernetesクラスタ内でPodが実行される際に適用されるセキュリティ制約を定義するためのリソースです。PSPを使用することで、Podが特権的な操作を実行したり、セキュリティリスクの高い設定を使用したりすることを防ぐことができます。

PSPで制御できる主な項目

PSPでは、以下の項目を制御できます。

• 特権コンテナ: Pod内で特権コンテナの実行を許可するかどうか。
• ホストネットワーク: Podがホストネットワークを使用できるかどうか。
• ホストPID: PodがホストPID名前空間を使用できるかどうか。
• ホストIPC: PodがホストIPC名前空間を使用できるかどうか。
• ボリューム: Podが特定のボリュームタイプを使用できるかどうか。
• Capabilities: Podが特定のLinux capabilitiesを使用できるかどうか。
• Seccompプロファイル: PodがSeccompプロファイルを使用できるかどうか。
• AppArmor: PodがAppArmorプロファイルを使用できるかどうか。

PSPの適用方法

PSPは、Namespaceに適用することで、そのNamespace内で作成されるPodにセキュリティ制約を適用できます。PSPは、PodSecurityPolicyリソースとしてKubernetes APIに定義されます。

PSPの代替手段

Kubernetes 1.25以降、Podセキュリティポリシーは非推奨となり、Podセキュリティ基準（PSPの代替）が導入されました。Podセキュリティ基準は、事前に定義されたセキュリティプロファイルを使用して、Podのセキュリティ設定を制御します。