Ija*_*han 6 namespaces docker kubernetes kata-containers
Docker支持用户名称空间,以便将uid名称空间与主机完全隔离,从而可以有效地将容器中的根映射到主机上的其他内容。
Kubernetes中是否支持在底层docker引擎上启用此功能?它可以开箱即用,没有问题吗?
因此,它不支持但像码头工人按这个(如上文所提到的意见)和本。
但是,如果您正在考虑隔离工作负载,则还有其他选择(虽然不尽相同,但选项相当不错):
您可以使用Pod安全策略,特别是可以使用RunAsUser以及AllowPrivilegeEscalation = false。吊舱安全策略可以与RBAC绑定,因此您可以限制用户运行吊舱的方式。
换句话说,您可以强制用户仅以“您的用户”身份运行privilegedpod 并禁用pod中的标志securityContext。您还可以禁用sudo和在容器图像中。
此外,您可以专门删除Linux 功能CAP_SETUID。甚至更高级的使用seccomp配置文件,SElinux或Apparmor配置文件。
运行不受信任的工作负载的其他替代方法(在撰写本文时为alpha):
| 归档时间: |
|
| 查看次数: |
1377 次 |
| 最近记录: |