Параметры безопасности для контейнеров и подов

Настройка Security Context в Kubernetes определяет параметры безопасности для подов и контейнеров: от имени какого пользователя запускаются процессы, какие права доступа имеет этот пользователь, какие системные вызовы могут выполняться и т. д.

В статье рассмотрим настройку параметров:

• securityContext — для определённого контейнера внутри пода;
• podSecurityContext — для всего пода и всех контейнеров внутри него.

Настройка параметра securityContext

В параметре securityContext задаются настройки безопасности для определённого контейнера внутри пода.

Этот параметр можно настроить в файле values-elma365.yaml. В поле .Values.global.securityContext задайте значения, например:

global:
 securityContext:
   runAsUser: 1000
   seccompProfile:
     type: RuntimeDefault

Где:

• runAsUser — UID пользователя внутри контейнера, от имени которого запускаются процессы в этом контейнере;
• seccompProfile.type — профиль seccomp для ограничения системных вызовов внутри контейнера: открытия файлов, создания процессов и т. п. В этом примере используется значение RuntimeDefault, которое предоставляет базовый уровень безопасности.

Этапы изменения параметра аналогичны шагам в статье «Изменение параметров ELMA365 Enterprise».

Значения по умолчанию для параметра securityContext

Если вы не указали значение для параметра, по умолчанию применяются настройки:

runAsUser: 1001
seccompProfile:
  type: RuntimeDefault

Настройка параметра podSecurityContext

В параметре podSecurityContext задаются настройки безопасности для всего пода. Они влияют на все контейнеры внутри него.

Этот параметр можно настроить в файле values-elma365.yaml. В поле .Values.global.podSecurityContext задайте значения, например:

global:
  podSecurityContext:
    runAsUser: 1000
    seccompProfile:
      type: RuntimeDefault

Где:

• runAsUser — UID пользователя, от имени которого запускаются все процессы в поде;
• seccompProfile.type — профиль seccomp для всего пода. В этом примере используется значение RuntimeDefault, которое предоставляет базовый уровень безопасности.

Этапы изменения параметра аналогичны шагам в статье «Изменение параметров ELMA365 Enterprise».

Значения по умолчанию для параметра podSecurityContext

Если вы не указали значения для параметра, применяются настройки по умолчанию:

runAsUser: 1001
seccompProfile:
  type: RuntimeDefault

Была ли статья полезной?

Спасибо за ваш отзыв!

×

Ваш отзыв успешно отправлен!

Спасибо за обратную связь.

×

Уточните, почему:

Рекомендации не помоглиТекст трудно понятьНет ответа на мой вопросСодержание статьи не соответствует заголовкуДругая причина

×

Расскажите, что вам не понравилось в статье:

ДаНет

Выберите вариантРекомендации не помоглиТекст трудно понятьНет ответа на мой вопросСодержание статьи не соответствует заголовкуДругая причина