问题描述
我们都有我们的特权,但是当豆荚拥有它们时,这被认为特别糟糕。原因是root特权及其所需要的一切。但是,特权豆荚是生活中不可或缺的事实,它们存在的原因是访问设备驱动程序等原因。因此,我不仅要诅咒它们,还希望提供一些有关如何处理它们出现的情况的明智建议。
-
如果集群之间存在TCP请求,在其自己的单独Kubernetes集群中运行的特权Pod是否仍对主集群构成风险?换句话说,例如,如果我的特权吊舱正在专用minikube中运行,该怎么办。 (为什么我会做得很好,例如可以扩展服务网格mTLS并在服务旁边注入sidecar代理)
-
是否可以使用设备插件来完全减少对特权Pod的需求,并且有一个很好的示例,它允许文件或设备驱动程序级别的访问。设备插件与特权吊舱相比,安全性高多少?
-
在特权吊舱运行的情况下,能否通过安全审核幸免?是否有任何PSP Pod安全策略可以使之安全。
对于那些不熟悉特权吊舱的人,只需考虑访问kubernetes节点上的USB设备。除非安装了设备插件或特权吊舱,否则这一切都不会发生。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)