Запретить контейнерам с UID 0 запускать Kubernetes

thewire247

30.01.2023, 08:24

Традиционно я бы запретил запуск контейнеров root/UID 0 в kubernetes с помощью политик безопасности pod. Однако кажется, что в 1.21 PSP устарели. Существуют ли какие-либо другие рекомендуемые способы предотвращения их запуска на уровне кластера?

0 + 0

кубернет

mdaniel

30.01.2023, 14:57

Ну, вы читали [их удобный пост в блоге] (https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future/#what-does-this-mean-for -you), где они ссылались на использование OPA Gatekeeper для применения подобных политик в масштабе всего кластера?

Ответить

Рейтинг:0

Server

Mikolaj S.

01.02.2023, 09:16

Как подсказывают комментарии @mdaniel, стоит прочитать Устаревание PodSecurityPolicy: прошлое, настоящее и будущее статью, в которой вы узнаете, что команда Kubernetes рекомендует использовать Библиотека политик гейткипера для сложных правил связывания.

Для более подробной информации рекомендую прочитать:

Ты можешь настроить Gatekeeper на уровне кластера:

объем принимает *, Кластер, или же Пространство имен который определяет, выбраны ли ресурсы с областью действия кластера и/или с областью действия имен. (по умолчанию *)

Для вашего использования вы, вероятно, найдете Ограничение привратника пользователи быть полезным. Проверьте примеры в папка с образцами.

0 + 0

Wytrzymały Wiktor

04.02.2023, 07:34

Привет @thewire247. Вам удалось заставить его работать?

Ответить

thewire247

13.02.2023, 09:20

В настоящее время рассматривается правильная политика, которую можно использовать для обеспечения этого. Обновлю, если попаду куда-нибудь

Ответить

Admin

Этот вопрос на других языках:

EN: Prevent UID 0 containers running Kubernetes

TH: ป้องกันไม่ให้คอนเทนเนอร์ UID 0 เรียกใช้ Kubernetes

RO: Preveniți containerele UID 0 care rulează Kubernetes

RU: Запретить контейнерам с UID 0 запускать Kubernetes

VI: Ngăn chặn các thùng chứa UID 0 chạy Kubernetes

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.