Контейнеры Consul создаются как привилегированные контейнеры, как это изменить?

uday

03.12.2022, 09:34

При включенном дополнении политики Azure (в соответствии с политикой организации) мы не можем создавать привилегированные контейнеры на серверах aks, azure kubernetes.

Наше приложение настроено на контекст безопасности, как показано ниже.

    безопасностьКонтекст:
        allowPrivilegeEscalation: ложь
        рунаснонрут: правда
        RunAsUser: 999

Таким образом, наше приложение может создавать без привилегированного доступа. Но при связывании с консулом (через аннотации) контейнеры инициализации консула не создаются.

 Предупреждение FailedCreate 6s (x15 over 90s) replicaset-controller Ошибка при создании: веб-перехватчик допуска «validation.gatekeeper.sh» отклонил запрос: [azurepolicy-psp-container-no-привилегии-esc-30132221bc21e5b724da] Контейнер повышения привилегий не разрешен: envoy -коляска
[azurepolicy-psp-container-no-privivity-esc-30132221bc21e5b724da] Контейнер повышения привилегий не разрешен: consul-sidecar
[azurepolicy-psp-container-no-privivity-esc-30132221bc21e5b724da] Контейнер повышения привилегий не разрешен: consul-connect-inject-init

1 + 0

кубернет

акс

Рейтинг:0

Server

Sam Cogan

03.12.2022, 09:47

В соответствии с тем, как работает политика Azure для Kubernetes, вам необходимо явно объявить для каждого контейнера allowPrivilegeEscalation значение устанавливается равным false. Недостаточно, чтобы контейнер не требовал этого, это нужно указать в манифесте.

Итак, вам нужно изменить развертывание консоли, чтобы убедиться, что это установлено на боковых модулях.Я не очень хорошо знаком с Consul, но если он развертывается с помощью Helm, посмотрите параметры в файле значений, чтобы узнать, можете ли вы установить это.

0 + 1

uday

03.12.2022, 10:16

Я не нашел здесь многого, но есть одно свойство enablePodSecurityPolicies. Но это только с применением политик. Нет записи, связанной с ProvilegeEscalation. https://www.consul.io/docs/k8s/helm

Ответить

Admin

Этот вопрос на других языках:

EN: Consul containers are creating as privileged containers, how to change that?

TH: คอนเทนเนอร์ Consul กำลังสร้างเป็นคอนเทนเนอร์พิเศษ จะเปลี่ยนได้อย่างไร

RO: Containerele consul se creează ca containere privilegiate, cum să schimb asta?

RU: Контейнеры Consul создаются как привилегированные контейнеры, как это изменить?

VI: Vùng chứa lãnh sự đang tạo dưới dạng vùng chứa đặc quyền, làm cách nào để thay đổi điều đó?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.