@The3fon

Объяснение настройки SCC в OpenShift?

Добрый день, прошу помочь в объяснении сути SCC для OpenShift. Если для всех инструкций SCC описание в доках понятное, то как настраиваются политики SeLinux и SecComp с помощью SCC я так и не вкурил.
Если с настройкой Capabilities всё понятно, есть инструкции для добавления или удаления Capabilities для Pod, также в руководстве есть список стандартных Caps, которые импортируются в контейнер и список всех Caps которые поддерживаются, то для SeLinux присутствует инструкция:

seLinuxContext:
  type: RunAsAny
или MustRunAs

Как это интерпретировать и настраивать?

Для SecComp тоже самое, я не нашел примера yaml файла где указывался настроенный профиль с запретом или разрешением тех или иных системных вызовов. Как это настраивается?
  • Вопрос задан
  • 42 просмотра
Пригласить эксперта
Ответы на вопрос 1
saboteur_kiev
@saboteur_kiev
software engineer
Это относится от имени какого юзера запускаются поды. Может быть четыре варианта

MustRunAs, при этом все контейнеры должны быть настроены для запуска как сконфигурированный юзер в runAsUser

MustRunAsRange - в контейнерах можно использовать юзеров с UID в указанном диапазоне. Если юзер не указан, автоматически берется первый UID из диапазона, полезно для разграничения прав доступа, например, между проектами (неймспейсами)

MustRunAsNonRoot - можно использовать любых юзеров, кроме рута (uid 0)

RunAsAny - можно запускать контейнеры от имени любого юзера

А вообще, тут подробнее:
https://docs.openshift.com/container-platform/4.1/...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы