在GKE集群中检查PoDSecurityPolicy状态

Question

如何检查是否在PoDSecurityPolicy集群上启用了GKE？使用gcloud container clusters describe <clustername>，我什么也找不到。

如果我在已启用此plugin的集群上启用它，则会显示插件已启用，因此无法实际知道是否已在群集上启用plugin。

 $ gcloud beta container clusters update mycluster --enable-pod-security-policy --zone us-east1-c
 Updating podsecpolicy-poc...done.
 Updated [https://container.googleapis.com/v1beta1/projects/<project>/zones/us-east1-c/clusters/mycluster].

Answer 1

由于PodSecurityPolicy仍然是GKE中的beta特性，所以只能通过GKE 访问它。要检查PodSecurityPolicy控制器是否在GKE集群上启用，请运行：

$ gcloud beta container clusters describe <cluster-name> --zone=<zone> --format json | jq '.podSecurityPolicyConfig'

示例命令及其结果：

$ gcloud beta container clusters describe my-gke-cluster --zone=europe-west4-c --format json | jq '.podSecurityPolicyConfig'
{
  "enabled": true
}

更新：

当PodSecurityPolicy 在GKE集群上未启用时，上面的查询返回：

null

因为没有可用的podSecurityPolicyConfig部分。您还可以使用grep为其服务。如果启用了PodSecurityPolicy ，则结果如下所示：

$ gcloud beta container clusters describe my-gke-cluster --zone=europe-west4-c | grep -iA 1 podsecuritypolicy
podSecurityPolicyConfig:
  enabled: true

如果不是，则根本找不到这个部分。