Kluster Kubernet tidak boleh membenarkan bekas istimewa

Apa itu bekas istimewa di Kubernetes?
Apakah maksud membenarkanprivileescalation?
Sekiranya pod kluster Kubernet hanya menggunakan jenis kelantangan yang dibenarkan?

Apa itu bekas istimewa di Kubernetes?

Keistimewaan: Menentukan jika ada bekas dalam pod boleh membolehkan mod istimewa. Secara lalai bekas tidak dibenarkan mengakses mana -mana peranti di tuan rumah, tetapi bekas "istimewa" diberi akses kepada semua peranti di tuan rumah. Ini membolehkan bekas hampir semua akses yang sama seperti proses yang berjalan pada tuan rumah.

Apakah maksud membenarkanprivileescalation?

BenarkanPrivileEcalation: Mengawal sama ada proses dapat memperoleh lebih banyak keistimewaan daripada proses induknya. Bool ini secara langsung mengawal sama ada bendera no_new_privs ditetapkan pada proses kontena. MembenarkanPrivileEcalation adalah benar selalu apabila bekas adalah: 1) dijalankan sebagai istimewa atau 2) mempunyai cap_sys_admin .

Sekiranya pod kluster Kubernet hanya menggunakan jenis kelantangan yang dibenarkan?

Pod hanya boleh menggunakan jenis kelantangan yang dibenarkan dalam kluster kubernet. Cadangan ini adalah sebahagian daripada dasar keselamatan pod yang bertujuan untuk meningkatkan keselamatan persekitaran Kubernet anda. Dasar ini biasanya tersedia untuk perkhidmatan Kubernetes (AKS), dan pratonton untuk Azure Arc membolehkan Kubernetes.