Почему в примере k8s ограничивается PodSecurityPolicy, а не RunAsGroup?

Question

Почему в примере k8s ограничивается PodSecurityPolicy, а не RunAsGroup?

В документации K8s есть пример ограниченного PodSecurityPolicy:

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

Он ограничивает 'additionalGroups' и 'fsGroup', но не 'runAsGroup'

  supplementalGroups:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

Следовательно, он позволяет контейнеру в securityContext указывать корневую группу с идентификатором 0. Разве это не проблема? Не должно ли следующее

  runAsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

быть добавленным к PodSecruityPolicy с ограничениями?

1

kubernetes podsecuritypolicy

Источник

user1428554 06 авг '20 в 18:42

1 ответ

Другие вопросы по тегам kubernetes podsecuritypolicy

user2989261 07 авг '20 в 07:45 2020-08-07 07:45 · Answer 1 · 2020-08-07 07:45

Не следует ли следующее... добавить в ограничительный PodSecruityPolicy?

Это возможность ограничить вашу основную группу, если у вас ее нет, ваша основная группа не будет ограничена. Таким образом, поды могут запускать контейнеры как кореньGroup: 0.

supplementalGroupsозначает любую дополнительную группу, добавленную к пользователю, помимо основной группы (вторичные группы). В системах *nix • вы можете запускать процесс как принадлежащий к первичной группе и набору ограниченных вторичных групп.

âœŒï¸