PodSecurityPolicies (PSPs)는 Kubernetes 1.22에서 더 이상 사용되지 않게 되었으며, Kubernetes 1.25에서 제거됩니다. 이 페이지는 Teleport 사용자를 위한 이러한 변화의 보안적 함의를 설명하고, 필요한 조치를 설명합니다.

두 개의 Teleport 차트인 teleport-cluster 와 teleport-kube-agent 는 Teleport 포드에 추가 보안 수준을 제공하기 위해 PodSecurityPolicies에 의존했습니다. 이들의 제거는 두 가지 주요 결과를 초래합니다:

• 1.25로 업그레이드한 후, Helm은 PSP 객체를 참조하는 손상된 상태가 될 수 있습니다. 이 경우, Helm 릴리즈 상태를 수동으로 수정해야 합니다.

• 보안 정책 집행은 1.23부터 PodSecurityAdmission (PSA)에 의해 관리됩니다. PSA 보안 수준은 Helm이 관리하지 않는 namespace 리소스에서 설정됩니다. 이제 차트가 이를 처리할 수 없으므로 보안 집행 수준을 설정해야 합니다.

  1.25 업그레이드에 대비하기 위해:

• 최소한 Kubernetes 1.23을 실행하고 있는지 확인하십시오( kubectl version 실행).

• 차트를 배포하는 네임스페이스에 PSA 집행 수준으로 레이블을 지정하십시오:

  kubectl label namespace my-teleport-namespace 'pod-security.kubernetes.io/enforce=baseline'
  
  namespace/my-teleport-namespace labeled

• 차트에서 PSP 배포를 명시적으로 비활성화하려면 podSecurityPolicy.enabled: false 를 설정하고 Helm 릴리스를 업그레이드하십시오.

모든 Teleport 네임스페이스가 적절한 PodSecurityStandard로 레이블이 지정되고, 모든 Helm 릴리스가 PSP 비활성화 상태에서 최소한 한 번 업그레이드되면, 안전하게 1.25로 업그레이드할 수 있습니다.