如何解决克服特权豆荚的弊端
我们都有我们的特权,但是当豆荚拥有它们时,这被认为特别糟糕。原因是root特权及其所需要的一切。但是,特权豆荚是生活中不可或缺的事实,它们存在的原因是访问设备驱动程序等原因。因此,我不仅要诅咒它们,还希望提供一些有关如何处理它们出现的情况的明智建议。
-
如果集群之间存在TCP请求,在其自己的单独Kubernetes集群中运行的特权Pod是否仍对主集群构成风险?换句话说,例如,如果我的特权吊舱正在专用minikube中运行,该怎么办。 (为什么我会做得很好,例如可以扩展服务网格mTLS并在服务旁边注入sidecar代理)
-
是否可以使用设备插件来完全减少对特权Pod的需求,并且有一个很好的示例,它允许文件或设备驱动程序级别的访问。设备插件与特权吊舱相比,安全性高多少?
-
在特权吊舱运行的情况下,能否通过安全审核幸免?是否有任何PSP Pod安全策略可以使之安全。
对于那些不熟悉特权吊舱的人,只需考虑访问kubernetes节点上的USB设备。除非安装了设备插件或特权吊舱,否则这一切都不会发生。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。