如何检查是否PoDSecurityPolicy在集群上启用GKE?使用gcloud container clusters describe <clustername>,我找不到任何东西。
如果我在已启用此功能的集群上plugin启用它,则会显示该插件已启用,因此实际上无法知道是否plugin已在集群上启用
$ gcloud beta container clusters update mycluster --enable-pod-security-policy --zone us-east1-c
Updating podsecpolicy-poc...done.
Updated [https://container.googleapis.com/v1beta1/projects/<project>/zones/us-east1-c/clusters/mycluster].
由于PodSecurityPolicy仍是GKE 中的 beta 功能,因此只能通过GKE beta API访问。要检查您的GKE 集群PodSecurityPolicy上是否启用了控制器,请运行:
$ gcloud beta container clusters describe <cluster-name> --zone=<zone> --format json | jq '.podSecurityPolicyConfig'
示例命令及其结果:
$ gcloud beta container clusters describe my-gke-cluster --zone=europe-west4-c --format json | jq '.podSecurityPolicyConfig'
{
"enabled": true
}
当PodSecurityPolicy 未在GKE 集群上启用时,上述查询返回:
null
因为没有podSecurityPolicyConfig可用的部分。您也可以使用grep. 如果PodSecurityPolicy 启用,结果将如下所示:
$ gcloud beta container clusters describe my-gke-cluster --zone=europe-west4-c | grep -iA 1 podsecuritypolicy
podSecurityPolicyConfig:
enabled: true
如果不是,您将根本找不到此部分。