专注于 JetBrains IDEA 全家桶,永久激活,教程
持续更新 PyCharm,IDEA,WebStorm,PhpStorm,DataGrip,RubyMine,CLion,AppCode 永久激活教程
当前位置:搜云库技术团队 Java汇总 正文

Kubernetes实战保证集群内节点和网络安全

2020-08-17 分类:Java汇总 阅读(616)
  • 容器中指定固定的用户:spec.containers.securityContext.runAsUser: uid
  • 容器内不允许root用户:spec.container.securityContext.runAsNonRoot:true
  • 使用特权模式运行容器:spec.containers.securityContext.privileged:true
  • 为容器添加固定的内核功能:spec.containers.securityContext.capabilities.add:ADD_TIME(修改系统时间)
  • 在容器中禁用内核:spec.containers.securityContext.capabilities.drop:ADD_TIME
  • 阻止对容器根目录的写入:spec.containers.securityContext.readOnlyRootFilesystem:true

容器中的上下文限制,在pod仍然适用

  • 不同用户共享存储卷:spec.securityContext.fsGroup和spec.securityContext.supplementalGroups

RBAC与PodSecurityPolicy结合

定义PodSecurityPolicy

  • default

apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata:
  name: default
  namespace: default
spec:
  hostIPC: false
  hostPID: false
  hostNetwork: false
  hostPorts:
  - min: 10000
    max: 11000
  - min: 13000
    max: 14000
  privileged: true
  readOnlyRootFilesystem: false
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  volumes:
  - '*'
  • privileged
apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata:
  name: privileged
  namespace: default
spec:
  hostIPC: false
  hostPID: false
  hostNetwork: false
  hostPorts:
  - min: 10000
    max: 11000
  - min: 13000
    max: 14000
  privileged: true
  readOnlyRootFilesystem: false
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  volumes:
  - '*'

定义clusterRole

kubectl create clusterrole psp-default --verb=use --resources=podsecuritypolicy --resource-name=default


kubectl create clusterrole psp-privileged --verb=use --resources=podsecuritypolicy --resource-name=privileged

定义clusterrolebinding

kubectl create clusterrolebinding --clusterrole=psp-default --Groups=system:authenticated


kubectl create clusterrolebinding --clusterrole=psp-privileged --user=admin

适用admin1创建privileged=true的Pod

kubectl  create -f centos_1.yaml 
Error from server (Forbidden): error when creating "centos_1.yaml": pods "centos5" is forbidden: unable to validate against any pod security policy: [spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]

后记

肺炎猖狂,在家闭关!最近,会持续更新自己前期整理的学习资料,大家如果感兴趣的,请点赞,加关注

文章永久链接:https://tech.souyunku.com/44261

AD:【JetBrains 全家桶,激活、破解、教程】获取 IDEA 激活码、PyCharm 激活码、WebStorm 激活码和 DataGrip 激活码,提供详细破解教程与永久激活方法。支持 IDEA 永久激活与破解,免费获取注册码与激活码,解决 2024/2025 版本激活问题,轻松实现所有 JetBrains 工具的激活。
未经允许不得转载:搜云库技术团队 » Kubernetes实战保证集群内节点和网络安全

相关推荐

热门专题

JetBrains 全家桶,激活、破解、教程

提供 JetBrains 全家桶激活码、注册码、破解补丁下载及详细激活教程,支持 IntelliJ IDEA、PyCharm、WebStorm 等工具的永久激活。无论是破解教程,还是最新激活码,均可免费获得,帮助开发者解决常见激活问题,确保轻松破解并快速使用 JetBrains 软件。获取免费的破解补丁和激活码,快速解决激活难题,全面覆盖 2024/2025 版本!

联系我们联系我们