「PodSecurity違反「基準:最新」:ホストパスボリューム」を完全に理解する必要があります。

「PodSecurity違反「基準:最新」:ホストパスボリューム」を完全に理解する必要があります。

私たちはかなり長い間、ローカルクラスタでKubernetes 1.13を実行してきました。これで1.24にアップグレードしました。

デプロイオブジェクトの次のイベントにより、新しいクラスタにデプロイしようとするサービスが失敗します。

message: 'pods "..." is forbidden: violates
  PodSecurity "baseline:latest": hostPath volumes (volume "...")'

私はこの問題を議論するいくつかの質問とスレッドを見つけましたが、両方が問題の文脈を避けて、展開に次のタグを追加するソリューションを提供したいと思います。 " pod-security.kubernetes.io/enforce: privileged"。

実際にこれを配布に追加するのが役に立つかどうかはわかりません。実際、デプロイメントのタグとデプロイメントのテンプレートタグに追加してみましたが、あまり違いはありませんでした。名前空間オブジェクトにこれが必要ですか?

実際に機能させるには、どこに追加するべきかを知ることができますが、ここで何が起こっているのかを正確に理解していない限り、単に追加するだけでは満足できません。私はこれが本質的にセキュリティを減らすと思います。ボリュームをホストのディレクトリにマップする必要があり、現在デフォルトで許可されていない他のオプションがない場合は、これが何をすべきかを確認する必要があります。時間。

また、これらの新しいクラスターにサービスをデプロイすると、以前には見られなかった追加のセキュリティ警告がいくつか表示されることがわかりました。そのうちの1つは次のとおりです。

Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (containers ... must set securityContext.allowPrivilegeEscalation=false)

allowPrivilegeEscalation=false私の意図は、「」が設定される警告で説明されているように、4つの警告すべてを解決することです。これら2つの設定は互いに関連していますか?

関連情報