问题标签 [podsecuritypolicy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
145 浏览

kubernetes - 受限制的 PodSecurityPolicy 不应该使用“MayRunAs”而不是“MustRunAs”吗

k8s 文档有一个受限 PodSecurityPolicy 的示例:

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example-policies

包含以下代码段:

我想知道为什么他们使用规则“MustRunAs”而不是“MayRunAs”。

'MustRunAs' 的文档说明:“使用第一个范围的最小值作为默认值。”

因此,我的理解是,对于任何容器,supplementalGroup 和 fsGroup 都将默认为 1(如果未在 pod 或容器 securityContext 中另行指定),而如果使用了“MayRunAs”,则不会分配默认的supplementalGroup / fsGroup。

因此,使用“MayRunAs”而不是“MustRunAs”作为限制性 PodSecurityPolicy 不是更好吗?

0 投票
1 回答
78 浏览

kubernetes - 为什么 k8s 示例限制 PodSecurityPolicy 不限制 RunAsGroup?

K8s 文档有一个受限 PodSecurityPolicy 的示例:

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example-policies

它限制 'supplementalGroups' 和 'fsGroup' 但不限制 'runAsGroup'

因此它允许 securityContext 中的容器指定 id 为 0 的根组。这不是问题吗?不应该以下

被添加到限制性 PodSecruityPolicy 中?

0 投票
1 回答
413 浏览

kubernetes - Minikube:尝试创建特权容器时,受限 PodSecurityPolicy 不受限制

我在 minikube 中启用了 podsecuritypolicy。默认情况下,它创建了两个 psp - 特权和受限。

我还创建了一个 linux 用户 - kubexz,为此我创建了 ClusterRole 和 RoleBinding 来限制仅管理 kubexz 命名空间上的 pod,并使用受限 psp。

我已经在我的 kubexz 用户 $HOME/.kube 中设置了 kubeconfig 文件。RBAC 工作正常 - 从 kubexz 用户,我只能按预期在 kubexz 命名空间中创建和管理 pod 资源。

但是,当我使用 发布 pod 清单时securityContext.privileged: true,受限的 podsecuritypolicy 并没有阻止我创建该 pod。我应该无法创建具有特权容器的 pod。但是 pod 正在创建中。不知道我错过了什么

0 投票
1 回答
2242 浏览

kubernetes - 初始化容器“sysctl:错误设置键'net.ipv4.ip_local_port_range':只读文件系统”

当我设置为 priviliged: false 时,我试图从 init 容器中删除特权模式。我正在克服错误。我在 pod securityContext 级别设置了 readOnlyRootFilesystem: false 和下面的行

0 投票
1 回答
436 浏览

linux - 无法在 K8s 中设置 kernel.core_pattern

我正在尝试修改 kernel.core_pattern 但我无法修改它,因为它是只读的。

我努力了:

我也无法将其添加到 pod yaml 中:

我不断得到这个:SysctlForbidden

我还创建了一个 PodSecurityPolicy:

仍然没有运气。

有什么建议么?

0 投票
0 回答
179 浏览

kubernetes - pod“istio-operator-7448dbfb5-”被禁止:无法验证任何 pod 安全策略:[

在将 gke 集群从 1.16.15-gke.7800 升级到 1.17.17-gke.3700 后,我遇到了“istio-operator”的这个错误,这个错误只出现在几个集群中,而不是所有 1.17 GKE 集群.

0 投票
0 回答
105 浏览

kubernetes - Pod 安全策略 - Pod 无法创建文件

我们尝试应用 pods 安全规则,如下所示:

并使用下面的 docker 图像,我们授予 taapuser 访问“/app”文件夹的权限

但是当我们尝试运行这个 pod 时,pod 无法在 /app 下创建文件。

我试图更改如下所示的代码并开始工作

我想知道我们是否需要更改 podssecurity 规则,以便 taapuser 可以访问在 /app 文件夹下创建文件

0 投票
1 回答
248 浏览

kubernetes - 如何在 Kubernetes 中检查 PSP(pod 安全策略)规范

PSP(Pod 安全策略)规范的一部分是不可见的(例如 hostIPC:false,priviledged:false ......等等)

你能告诉我为什么我不能检查吗?

[psp.yaml]

[psp创建]

[psp检查]

kube 版本:1.18.6

0 投票
1 回答
165 浏览

docker - 在 Dockerfile 中为 Docker 映像选择 USER ID 和 GROUP ID 的任何标准指南?

我通常用作1111容器的用户 ID 和组 ID,但是当我在 OpenShift 平台上部署应用程序时,在调度 pod 时出错。

我知道,我的应用程序 Pod 不满足集群上的某些安全上下文约束 (SCC) 施加了此限制。我只是想了解,是否有一些关于选择这些 userId 和 GroupID 的标准规则/指南。任何帮助,将不胜感激!

0 投票
1 回答
335 浏览

docker - 我们能否提供一个需要由 Kubernetes 中的 pod/容器运行的用户名?

Pod规范中,有一个选项来指定需要由所有容器运行的用户 ID

有没有办法我们也可以更改用户名,就像我们对 windows pod 和容器的方式一样,如下所示