Remove pod security policy (PSP) references for 2.9+

2026-05-04 20:23:24 +00:00 · 2025-07-17 16:32:51 -07:00
parent 399d9683d0
commit b95f9105dd
271 changed files with 100 additions and 3814 deletions
@@ -145,12 +145,6 @@ Rancher v2.6 引入了[为 RKE 集群配置 ECR 镜像仓库](https://rancher.co

 每个能够使用 RKE 启动集群的云提供商都可以收集指标并监控你的集群节点。如果启用此选项，你可以从你的云提供商门户查看你的节点指标。

-### Pod 安全策略支持
-
-为集群启用 [pod 安全策略](../../../how-to-guides/new-user-guides/authentication-permissions-and-global-configuration/create-pod-security-policies.md)。启用此选项后，使用**默认 Pod 安全策略**下拉菜单选择一个策略。
-
-你必须有已配置的 Pod 安全策略才能使用此选项。
-
 ### 节点上的 Docker 版本

 表示是否允许节点运行 Rancher 不正式支持的 Docker 版本。
@@ -124,10 +124,6 @@ Rancher 与以下开箱即用的网络提供商兼容：

 :::

-#### 默认 Pod 安全策略
-
-为集群选择默认的 [pod 安全策略](../../../how-to-guides/new-user-guides/authentication-permissions-and-global-configuration/create-pod-security-policies.md)。请参阅 [RKE2 文档](https://docs.rke2.io/security/pod_security_policies)来了解每个可用策略的规范。
-
 #### Worker CIS 配置文件

 选择一个 [CIS benchmark](../../../how-to-guides/advanced-user-guides/cis-scan-guides/cis-scan-guides.md) 来验证系统配置。
@@ -79,7 +79,7 @@ kernel.panic_on_oops=1

 ## Kubernetes 运行时要求

-CIS Benchmark 的运行时要求主要围绕 Pod 安全（通过 PSP 或 PSA）、网络策略和 API 服务器审计日志展开。
+CIS Benchmark 的运行时要求主要围绕 Pod 安全（通过 PSA）、网络策略和 API 服务器审计日志展开。

 默认情况下，K3s 不包含任何 Pod 安全或网络策略。然而，K3s 附带一个控制器，可以强制执行你创建的任何网络策略。默认情况下，K3s 启用了 `PodSecurity` 和 `NodeRestriction` 等多个准入控制器。

@@ -155,7 +155,6 @@ done
 ## 已知限制

 - 当注册自定义节点仅提供公共 IP 时，Rancher **exec shell** 和 **查看 pod 日志** 在加固设置中**不起作用**。 此功能需要在注册自定义节点时提供私有 IP。
- 当根据 Rancher [提供](../../../../how-to-guides/new-user-guides/authentication-permissions-and-global-configuration/create-pod-security-policies.md)的 Pod 安全策略 (Pod Security Policies, PSP) 将 `default_pod_security_policy_template_id:` 设置为 `restricted` 或 `restricted-noroot` 时，Rancher 会在 `default` service accounts 上创建 `RoleBindings` 和 `ClusterRoleBindings`。CIS 检查 5.1.5 要求除了默认角色之外，`default` service accounts 不应绑定其他角色或集群角色。此外，`default` service accounts 应配置为不提供服务账户令牌，也不具有任何明确的权限分配。

 ## 加固的 RKE `cluster.yml` 配置参考