Versionshinweise
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.
Erstellen einer benutzerdefinierten POD-Sicherheitsrichtlinie
Beitragende
Änderungen vorschlagen
PDFs
Astra Control muss Kubernetes Pods auf den gemanagten Clustern erstellen und managen. Wenn Ihr Cluster eine restriktive Pod-Sicherheitsrichtlinie verwendet, die die Erstellung privilegierter Pods nicht zulässt oder Vorgänge innerhalb der Pod-Container nicht als Root-Benutzer ausgeführt werden können, müssen Sie eine weniger restriktive POD-Sicherheitsrichtlinie erstellen, damit Astra Control diese Pods erstellen und verwalten kann.
Schritte
-
Erstellen Sie eine Pod-Sicherheitsrichtlinie für den Cluster, die weniger restriktiv ist als der Standard, und speichern Sie sie in einer Datei. Beispiel:
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: astracontrol annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*' spec: privileged: true allowPrivilegeEscalation: true allowedCapabilities: - '*' volumes: - '*' hostNetwork: true hostPorts: - min: 0 max: 65535 hostIPC: true hostPID: true runAsUser: rule: 'RunAsAny' seLinux: rule: 'RunAsAny' supplementalGroups: rule: 'RunAsAny' fsGroup: rule: 'RunAsAny' -
Erstellen Sie eine neue Rolle für die POD-Sicherheitsrichtlinie.
kubectl-admin create role psp:astracontrol \ --verb=use \ --resource=podsecuritypolicy \ --resource-name=astracontrol -
Binden Sie die neue Rolle an das Dienstkonto.
kubectl-admin create rolebinding default:psp:astracontrol \ --role=psp:astracontrol \ --serviceaccount=astracontrol-service-account:default