前端之家收集整理的这篇文章主要介绍了
安全性 – 在Kubernetes中使用runAsNonRoot,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们一直计划在很长一段时间内引入securityContext:runAsNonRoot:true作为我们的pod配置的一个要求.
今天测试我已经了解到,自从v1.8.4(我认为)以来,你还必须为运行容器的用户指定一个特定的UID,例如runAsUser:333.
这意味着我们不仅要告诉开发人员确保他们的容器不以root身份运行,而且还要指定他们应该运行的特定UID,这使得我们引入这个问题显得更加困难.
我理解正确吗?其他人在这个领域做了什么?要利用runAsNonRoot,现在需要Docker容器以特定且已知的UID运行吗?
最佳答案
Kubernetes Pod SecurityContext提供了两个选项runAsNonRoot和runAsUser来强制非root
用户.您可以使用彼此分开的两个选项,因为它们会测试不同的配置.
当您设置runAsNonRoot:true时,您需要容器将与任何UID不为0的用户一起运行.无论您的用户具有哪个UID.
设置runAsUser:333时,您需要使用具有UID 333的用户运行容器.