问题标签 [security-context]

我正在尝试在具有只读文件系统的容器中托管 Web 应用程序。每当我尝试通过容器将根文件系统配置为只读SecurityContext时，我都会收到以下错误：

我尝试使用 AppArmor 配置文件来实现相同的目的，如下所示：

不幸的是，结果是一样的。

我假设正在发生的是容器无法保存 Web 应用程序的文件并且失败。

在我的场景中，我将运行不受信任的代码，并且我必须确保不允许用户访问文件系统。

关于我做错了什么以及如何实现只读文件系统的任何想法？

我正在使用 AKS，以下是我的部署配置：

编辑：我还尝试创建一个集群级 PSP，但它也不起作用。

我正在使用 Spark 2.4.5 通过 spark-submit 命令在 kubernetes 上运行 spark 应用程序。应用程序在尝试写入此处详述的输出时失败，可能是由于安全上下文不正确的问题。所以我尝试设置安全上下文并运行应用程序。我通过创建此处提到的 pod 模板来做到这一点，但我无法验证 pod 模板是否已正确设置（因为我找不到合适的示例），或者是否可以从驱动程序和执行程序访问pods（因为我在驱动程序或 kubernetes 日志中找不到与模板相关的任何内容）。这是我用来设置安全上下文的 pod 模板的内容。

这是我使用的命令。

我已将 pod 模板文件放在安装在 /opt/spark/work-dir 的持久卷中。我的问题是：

1. 是否可以从持久卷访问 pod 模板文件？
2. 文件内容的格式是否适合设置 runAsUser？
3. Spark 2.4.5 是否支持 Pod 模板功能？尽管在 2.4.5文档中提到可以使用 pod 模板实现安全上下文，但在 3.2.0文档中没有 pod 模板部分。

任何帮助将不胜感激。谢谢。

在我的 POD 中，我想将所有容器限制为具有 securityContext: readOnlyRootFilesystem: true
示例的只读文件系统（注意：为简洁起见，yaml 已减少）

这将导致：

错误：验证“server123.yaml”时出错：验证数据时出错：ValidationError（Pod.spec.securityContext）：io.k8s.api.core.v1.PodSecurityContext中的未知字段“readOnlyRootFilesystem”；如果您选择忽略这些错误，请使用 --validate=false 关闭验证

相反，我必须配置为：

有没有办法为所有容器设置一次这个安全限制？如果不是为什么不呢？

当我custom-scc在我的Openshift集群上应用我的服务时，我有权正确serviceAccount : My-service-name检索它。

但是，如果另一个服务中的 pod 重新启动，default它serviceAccount也会得到我的custom-scc。

我检查了我的 scc，我只添加了：

有没有人遇到过这个问题？

我正在使用 21 版本的 Vaadin。我有以下代码，取自 Vaadin 网站的一个示例，并由我稍微（纯粹是美丽）修改。其余文件不变。

代码如下。为什么我会得到这样的日志？

2022-01-20 10:08:32.589 DEBUG 12556 --- [nio-8888-exec-6] cephotoarchive.components.DropView：放置 1. 用户在这里 2022-01-20 10:08:38.197 TRACE 12556 --- [nio-8888-exec-1] c.example.photoarchive.SecurityService：身份验证为空 2022-01-20 10:08:38.197 DEBUG 12556 --- [nio-8888-exec-1] cephotoarchive.components.DropView ：将 2. 用户放在这里 <>