Описание тега podsecuritypolicy
1
ответ
В ограниченном PodSecurityPolicy нельзя использовать MayRunAs вместо MustRunAs
В документации k8s есть пример ограниченного PodSecurityPolicy: https://kubernetes.io/docs/concepts/policy/pod-security-policy/ содержащий следующий фрагмент: supplementalGroups: rule: 'MustRunAs' ranges: # Forbid adding the root group. - min: 1 max…
06 авг '20 в 18:33
1
ответ
Minikube: Restricted PodSecurityPolicy не ограничивает при попытке создать привилегированный контейнер
Я включил podsecuritypolicy в minikube. По умолчанию он создал два psp - привилегированный и ограниченный. NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES privileged true * RunAsAny RunAsAny RunAsAny RunAsAny false * restric…
14 авг '20 в 22:33
1
ответ
Почему в примере k8s ограничивается PodSecurityPolicy, а не RunAsGroup?
В документации K8s есть пример ограниченного PodSecurityPolicy: https://kubernetes.io/docs/concepts/policy/pod-security-policy/ Он ограничивает 'additionalGroups' и 'fsGroup', но не 'runAsGroup' supplementalGroups: rule: 'MustRunAs' ranges: # Forbid…
06 авг '20 в 18:42
1
ответ
контейнер инициализации "sysctl: ключ установки ошибки 'net.ipv4.ip_local_port_range': файловая система только для чтения"
Я пытаюсь удалить привилегированный режим из контейнера инициализации, когда я установил Priviliged: false. Я получаю сообщение об ошибке выше. Я установил readOnlyRootFilesystem: false и строки ниже на уровне pod securityContext securityContext: sy…
15 окт '20 в 01:31
0
ответов
pods «istio-operator-7448dbfb5-» запрещен: невозможно выполнить проверку на соответствие какой-либо политике безопасности модуля: [
Я столкнулся с этой ошибкой с "istio-operator" после обновления кластера gke с 1.16.15-gke.7800 до 1.17.17-gke.3700, и эта ошибка появляется только в нескольких кластерах, а не во всем кластере 1.17 GKE. .
27 апр '21 в 13:59
0
ответов
Политика безопасности модуля - модули не могут создавать файлы
мы пытаемся применить правило безопасности подов, как показано ниже: apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: taap-restricted-psp annotations: # https://docs.docker.com/engine/security/seccomp/ # https://kubernetes.io/docs/…
04 май '21 в 12:59
1
ответ
Как проверить спецификацию PSP (pod security policy) в Kubernetes
Часть спецификации PSP(Pod Security Policy) не видна (например, hostIPC: false, Priviledged: false ... и т. Д.) Подскажите, почему я не могу это проверить? [psp.yaml] apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: default spec: a…
10 май '21 в 07:52
1
ответ
Какие-либо стандартные рекомендации по выбору идентификатора пользователя и группы для образов Docker в Dockerfile?
Я обычно использовал в качестве идентификатора пользователя и идентификатора группы для моих контейнеров, но когда я развернул свое приложение на платформе OpenShift, у меня возникла ошибка при планировании модулей. unable to validate against any se…
07 июн '21 в 17:27
1
ответ
Можем ли мы предоставить имя пользователя, которое должно запускаться под / контейнерами в кубернетах?
В Pod спецификации, есть возможность указать идентификатор пользователя, который должен запускаться всеми контейнерами podSecurityContext: runAsUser: <a numeric Id> Есть ли способ изменить имя пользователя, как для модулей и контейнера Windows…
10 июн '21 в 14:21
1
ответ
почему мой контейнер Openldap продолжает давать сбой из-за политики безопасности модуля
Я успешно создал PodSecurityPolicy, CluserRole и ClusterRoleBinding на GKE. Теперь я пытаюсь использовать OpenLDap отсюда . Без моего PodSecurityPolicy, установленного в кластере k8s, установка Helm этого OpenLDap работает нормально. Однако, когда я…
06 июл '21 в 18:48
0
ответов
Настройка hostNetwork на false не позволяет копировать в hostPath
Я теоретически пережил hostNetworkопределение, предоставленное Kubernetes. Для нижеприведенной спецификации стручка cat hostpod.yaml apiVersion: v1 kind: Pod metadata: name: test-pd spec: #hostNetwork: true containers: - image: ubuntu name: test-con…
22 июл '21 в 09:33
2
ответа
Как я могу проверить, разрешено ли использование podsecuritypolicy в пространстве имен с помощью kubectl auth can-i ... psp?
Ошибка возвращается - error: you must specify two or three arguments: verb, resource, and optional resourceName когда я казнил kubectl auth --as=system:serviceaccount:mytest1:default can-i use psp 00-mytest1 У меня уже есть следующие манифесты для p…
09 сен '21 в 17:10
0
ответов
Ошибка выполнения dpdk-devbind в контейнере pod
Я пытаюсь привязать драйвер vfio-pci к sriov vfs в контейнере pod k8s ,, но получаю сообщение об ошибке #./dpdk-devbind.py -b vfio-pci 0000:19:02.1 Error: unbind failed for 0000:19:02.1 - Cannot open /sys/bus/pci/drivers/iavf/unbind. # echo "0000:19…
25 окт '21 в 13:51
2
ответа
Почему я не могу настроить параметры securityContext на уровне POD для применения ко всем базовым контейнерам?
В моем POD я хотел ограничить ВСЕ мои контейнеры файловыми системами только для чтения с помощью securityContext: readOnlyRootFilesystem: true example (примечание: yaml сокращен для краткости) apiVersion: v1 kind: Pod metadata: labels: run: server12…
02 янв '22 в 18:38
0
ответов
k8s PodSecurityPolicy и mountPropagation: двунаправленный
Меня немного смущает mountPropagation: двунаправленный в настройке k8s, где включен контроллер допуска PodSecurityPolicy. В качестве примера я использую самый привилегированный, указанный здесь https://raw.githubusercontent.com/kubernetes/website/ma…
29 дек '20 в 13:04
1
ответ
Невозможно установить kernel.core_pattern в K8s
Я пытаюсь изменить файл kernel.core_pattern, но не могу его изменить, так как он доступен только для чтения. Я пытался: > echo 'kernel.core_pattern=/tmp/core-%e.%p.%h.%t' >> /etc/sysctl.conf > Reload sysctl: sysctl --system Applying /etc…
16 янв '21 в 15:15
0
ответов
Как настроить небезопасный sysctl во время развертывания модулей в Digitalocean Kubernetes?
Я следил за документацией kubernetes, чтобы установить небезопасные sysctl во время развертывания модуля. ссылка: https://kubernetes.io/docs/tasks/administer-cluster/sysctl-cluster/#enabling-unsafe-sysctls Я работаю над Digitalocean kubernetes. Моду…
26 май '22 в 11:59
1
ответ
Применение политик OPA для учетной записи ServiceAccount через Gatekeeper в kubernetes
Мы пытаемся заменить наши существующие PSP в kubernetes политиками OPA с помощью Gatekeeper. Я использую шаблоны по умолчанию, предоставленные Gatekeeper https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/pod-security-policy…
11 май '22 в 22:48
4
ответа
нет совпадений для вида "AdmissionConfiguration" в версии "apiserver.config.k8s.io/v1"
У меня есть AKS с kubernetes версии 1.23. Я хочу активировать podsecurity на уровне кластера, установив его через AdmissionConfiguration, как описано здесь: https://kubernetes.io/docs/tasks/configure-pod-container/enforce-standards-admission-control…
24 май '22 в 14:28
0
ответов
Рабочие процессы Kubernetes Argo завершаются сбоем из-за ошибки psp-readonlyrootfilesystem
У меня есть следующий рабочий процесс argo, который имеетsecurityContextдобавлен. После его запуска происходит сбой с ошибкой ReadOnlyRootFileSystem, как указано ниже. Вот рабочий процесс yaml. apiVersion: argoproj.io/v1alpha1 kind: Workflow metadat…
21 ноя '22 в 11:23