1

K8s 文档有一个受限 PodSecurityPolicy 的示例:

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example-policies

它限制 'supplementalGroups' 和 'fsGroup' 但不限制 'runAsGroup'

  supplementalGroups:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

因此它允许 securityContext 中的容器指定 id 为 0 的根组。这不是问题吗?不应该以下

  runAsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

被添加到限制性 PodSecruityPolicy 中?

4

1 回答 1

1

不应该将以下内容...添加到限制性 PodSecruityPolicy 中吗?

这是限制您的主要组的一个选项,如果您没有它,那么您的主要组将不会受到限制。所以基本上,Pod 仍然可以以 root 身份运行容器Group: 0

supplementalGroups表示除主要组(次要组)之外添加到用户的任何其他组。在 *nix 系统中 ️ 你可以让一个进程运行为属于一个主要组和一组有限的次要组

✌️

于 2020-08-07T04:45:46.390 回答