PodSecurityStandard 在 Go 代码中不直接生效,它由 Kubernetes 控制平面的准入控制器执行,client-go 仅发送 HTTP 请求;若需提前校验,须手动检查 securityContext 等字段是否符合 restricted 级别要求。
PodSecurityStandard 在 Go 代码里不直接生效
Go 语言本身不解析或执行 Kubernetes 的 PodSecurityStandard(PSS)策略。PSS 是 K8s 控制平面(kube-apiserver + admission controller)对 Pod YAML/JSON 请求做的准入校验,不是运行时容器行为检查,也不是 Go SDK 的内置能力。你在 Go 程序里调用 client-go 创建 Pod,只是发 HTTP 请求;是否被拒绝,取决于集群是否启用了 PSS、以及你提交的 Pod 对象是否满足对应级别(privileged/baseline/restricted)的要求。
用 client-go 提交 Pod 前手动校验 PSS 合规性
如果你需要在 Go 服务中“预防性”拦截不合规的 Pod 创建请求(比如前端表单提交后、CI 流水线生成 YAML 后),就得自己实现轻量级校验逻辑。Kubernetes 官方没提供 Go 版 PSS 检查器,但可基于 Pod 结构体字段做关键项判断:
-
spec.securityContext.runAsNonRoot必须为true(restricted级别强制) -
spec.containers[*].securityContext.runAsNonRoot和allowPrivilegeEscalation: false需显式设置 -
spec.containers[*].securityContext.capabilities.drop至少包含"ALL"(或明确列出) - 禁止使用
hostNetwork: true、hostPID: true、hostIPC: true -
spec.volumes[*].hostPath和spec.volumes[*].emptyDir.medium(若设为"Memory")需按策略限制
注意:这些检查不能替代集群侧 PSS,只是提前报错提升体验;实际集群策略可能更严(比如自定义 PodSecurityPolicy 替代方案或 OPA 策略),且 restricted 级别还要求 seccompProfile 和 appArmorProfile 字段存在。
client-go 中设置 securityContext 容易漏掉的字段
很多人只写 runAsNonRoot: true,但 PSS restricted 要求更细。以下字段必须显式声明,否则会被拒绝:
立即学习“go语言免费学习笔记(深入)”;
-
spec.securityContext.seccompProfile.type必须是"RuntimeDefault"或"Localhost"(不能省略) -
spec.containers[*].securityContext.capabilities.drop不能为空切片;即使只 drop"NET_RAW",也要写明,不能留 nil -
spec.containers[*].securityContext.allowPrivilegeEscalation必须为false(默认值是true,不写就等于允许) -
spec.containers[*].securityContext.readOnlyRootFilesystem推荐设为true(虽非 PSS 强制,但常见审计项)
示例片段:
pod.Spec.SecurityContext = &corev1.PodSecurityContext{
RunAsNonRoot: pointer.Bool(true),
SeccompProfile: &corev1.SeccompProfile{
Type: corev1.SeccompProfileTypeRuntimeDefault,
},
}
for i := range pod.Spec.Containers {
c := &pod.Spec.Containers[i]
if c.SecurityContext == nil {
c.SecurityContext = &corev1.SecurityContext{}
}
c.SecurityContext.RunAsNonRoot = pointer.Bool(true)
c.SecurityContext.AllowPrivilegeEscalation = pointer.Bool(false)
c.SecurityContext.Capabilities = &corev1.Capabilities{
Drop: []string{"ALL"},
}
}
本地开发调试时 PSS 报错看不到具体原因
当你用 kubectl apply -f pod.yaml 或 client-go Create() 失败时,错误信息通常是:error: pods "xxx" is forbidden: violates PodSecurity "restricted:latest",但不会告诉你哪一行不合规。这是因为 admission controller 只返回策略名,不返回详细路径。
- 用
kubectl auth can-i create pod --as=system:serviceaccount:default:my-sa --namespace=default --subresource=securitycontextconstraints只能验证权限,不反映 PSS - 真实调试方法:临时把集群 PSS 级别降为
baseline,再逐项加约束;或用kube-score(CLI 工具)扫描 YAML:kube-score score pod.yaml --enable-all-controls - client-go 错误处理中,要检查
errors.IsForbidden(err)并打印err.Error()全文,有时会附带 hint(如 “missing seccompProfile”),但不可靠
PSS 的字段组合逻辑比表面复杂——比如 runAsNonRoot 设为 true 时,若容器镜像指定了 USER 但该用户 UID 是 0,仍会被拒绝;这种细节在 Go 代码里无法静态预判,只能靠集群反馈和日志交叉验证。
