问题标签 [podsecuritypolicy]

k8s 文档有一个受限 PodSecurityPolicy 的示例：

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example-policies

包含以下代码段：

我想知道为什么他们使用规则“MustRunAs”而不是“MayRunAs”。

'MustRunAs' 的文档说明：“使用第一个范围的最小值作为默认值。”

因此，我的理解是，对于任何容器，supplementalGroup 和 fsGroup 都将默认为 1（如果未在 pod 或容器 securityContext 中另行指定），而如果使用了“MayRunAs”，则不会分配默认的supplementalGroup / fsGroup。

因此，使用“MayRunAs”而不是“MustRunAs”作为限制性 PodSecurityPolicy 不是更好吗？

K8s 文档有一个受限 PodSecurityPolicy 的示例：

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example-policies

它限制 'supplementalGroups' 和 'fsGroup' 但不限制 'runAsGroup'

因此它允许 securityContext 中的容器指定 id 为 0 的根组。这不是问题吗？不应该以下

被添加到限制性 PodSecruityPolicy 中？

我在 minikube 中启用了 podsecuritypolicy。默认情况下，它创建了两个 psp - 特权和受限。

我还创建了一个 linux 用户 - kubexz，为此我创建了 ClusterRole 和 RoleBinding 来限制仅管理 kubexz 命名空间上的 pod，并使用受限 psp。

我已经在我的 kubexz 用户 $HOME/.kube 中设置了 kubeconfig 文件。RBAC 工作正常 - 从 kubexz 用户，我只能按预期在 kubexz 命名空间中创建和管理 pod 资源。

但是，当我使用 发布 pod 清单时securityContext.privileged: true，受限的 podsecuritypolicy 并没有阻止我创建该 pod。我应该无法创建具有特权容器的 pod。但是 pod 正在创建中。不知道我错过了什么

当我设置为 priviliged: false 时，我试图从 init 容器中删除特权模式。我正在克服错误。我在 pod securityContext 级别设置了 readOnlyRootFilesystem: false 和下面的行

我正在尝试修改 kernel.core_pattern 但我无法修改它，因为它是只读的。

我努力了：

我也无法将其添加到 pod yaml 中：

我不断得到这个：SysctlForbidden

我还创建了一个 PodSecurityPolicy：

仍然没有运气。

有什么建议么？

在将 gke 集群从 1.16.15-gke.7800 升级到 1.17.17-gke.3700 后，我遇到了“istio-operator”的这个错误，这个错误只出现在几个集群中，而不是所有 1.17 GKE 集群.

我们尝试应用 pods 安全规则，如下所示：

并使用下面的 docker 图像，我们授予 taapuser 访问“/app”文件夹的权限

但是当我们尝试运行这个 pod 时，pod 无法在 /app 下创建文件。

我试图更改如下所示的代码并开始工作

我想知道我们是否需要更改 podssecurity 规则，以便 taapuser 可以访问在 /app 文件夹下创建文件

PSP（Pod 安全策略）规范的一部分是不可见的（例如 hostIPC：false，priviledged：false ......等等）

你能告诉我为什么我不能检查吗？

[psp.yaml]

[psp创建]

[psp检查]

kube 版本：1.18.6

我通常用作1111容器的用户 ID 和组 ID，但是当我在 OpenShift 平台上部署应用程序时，在调度 pod 时出错。

我知道，我的应用程序 Pod 不满足集群上的某些安全上下文约束 (SCC) 施加了此限制。我只是想了解，是否有一些关于选择这些 userId 和 GroupID 的标准规则/指南。任何帮助，将不胜感激！

在Pod规范中，有一个选项来指定需要由所有容器运行的用户 ID

有没有办法我们也可以更改用户名，就像我们对 windows pod 和容器的方式一样，如下所示