将加固的自定义/导入集群升级到 Kubernetes v1.25

Kubernetes v1.25 改变了集群描述和执行安全策略的方式。从这个版本开始,Pod 安全策略 (PSP)不再可用。Kubernetes v1.25 将它们替换为新的安全对象:Pod 安全标准 (PSS)Pod 安全准入 (PSA)

如果你具有自定义或导入的加固集群,你需要做好准备,确保将旧版本的 Kubernetes 顺利升级到 v1.25 或更高版本。

将加固的自定义/导入集群升级到 Kubernetes v1.25 - 图1备注

升级到 v1.25 后,添加必要的 Rancher 命名空间豁免。有关详细信息,请参阅 Pod 安全准入 (PSA) 配置模板

将导入的加固集群升级到 Kubernetes v1.25 或更高版本

  • RKE2
  • K3s

在集群中的每个节点上执行以下操作:

  1. rancher-psact.yaml 保存到 /etc/rancher/rke2 中。
  2. 编辑 RKE2 配置文件:
    1. profile 字段更新为 cis-1.23
    2. 指定刚才添加的配置文件的路径:pod-security-admission-config-file: /etc/rancher/rke2/rancher-psact.yaml

在集群中的每个节点上执行以下操作:

遵循 K3s 将加固集群从 v1.24.x 升级到 v1.25.x的官方说明,但使用自定义Rancher PSA 配置模板,而不是 K3s 官方网站上提供的配置。

执行这些步骤后,你可以通过 Rancher UI 升级集群的 Kubernetes 版本:

  1. 在左上角,单击 ☰ > 集群管理
  2. 集群表中找到要更新的集群,点击
  3. 选择编辑配置
  4. Kubernetes 版本下拉菜单中,选择要使用的版本。
  5. 单击保存

将自定义加固集群升级到 Kubernetes v1.25 或更高版本

  • RKE2
  • K3s
  1. 在左上角,单击 ☰ > 集群管理
  2. 集群表中找到要更新的集群,点击
  3. 选择编辑配置
  4. 基本信息 > 安全下的 CIS 配置文件下拉菜单中,选择 cis-1.23
  5. PSA 配置模板下拉菜单中,选择 rancher-restricted
  6. Kubernetes 版本下拉菜单中,选择要使用的版本。
  7. 单击保存

  8. 在左上角,单击 ☰ > 集群管理

  9. 集群表中找到要更新的集群,点击
  10. 选择编辑 YAML
  11. kube-apiserver-arg.enable-admission-plugins 中删除 PodSecurityPolicy
  12. spec 字段中,添加一行:defaultPodSecurityAdmissionConfigurationTemplateName: rancher-restricted
  13. kubernetesVersion 更新为你选择的版本(v1.25 或更高版本)。
  14. 单击保存