Pod Security Standards (PSS) y las restricciones de contexto de seguridad (SCC)
Sugerir cambios
PDF
Los estándares de seguridad de Kubernetes Pod (PSS) y las políticas de seguridad de Pod (PSP) definen los niveles de permisos y restringen el comportamiento de los POD. OpenShift Security Context restriction (SCC) define de forma similar la restricción de POD específica para OpenShift Kubernetes Engine. Para proporcionar esta personalización, Trident permite ciertos permisos durante la instalación. En las siguientes secciones se detallan los permisos establecidos por Trident.
|
PSS reemplaza las políticas de seguridad de Pod (PSP). PSP quedó obsoleto en Kubernetes v1.21 y se eliminará en la versión 1.25. Para obtener más información, consulte "Kubernetes: Seguridad". |
Contexto de Kubernetes Security y campos relacionados necesarios
| Permiso | Descripción |
|---|---|
Privilegiado |
CSI requiere que los puntos de montaje sean bidireccionales, lo que significa que el receptáculo del nodo Trident debe ejecutar un contenedor privilegiado. Para obtener más información, consulte "Kubernetes: Propagación de montaje". |
Conexión a redes del host |
Necesario para el daemon de iSCSI. |
IPC del host |
NFS utiliza la comunicación entre procesos (IPC) para comunicarse con NFSD. |
PID del host |
Necesario para iniciar |
Funcionalidades |
La |
Seccomp |
El perfil de Seccomp siempre está «sin confinar» en contenedores privilegiados; por lo tanto, no se puede activar en Trident. |
SELinux |
En OpenShift, los contenedores con privilegios se ejecutan en el |
DAC |
Los contenedores con privilegios deben ejecutarse como root. Los contenedores no privilegiados se ejecutan como root para acceder a los sockets unix necesarios para CSI. |
Estándares de seguridad para POD (PSS)
| Etiqueta | Descripción | Predeterminado |
|---|---|---|
|
Permite admitir la controladora Trident y los nodos en el espacio de nombres de instalación. No cambie la etiqueta de espacio de nombres. |
|
|
El cambio de las etiquetas del espacio de nombres puede provocar que los POD no se programen, un "error al crear: …" O bien, "Advertencia: trident-csi-…". Si esto sucede, compruebe si la etiqueta de espacio de nombres para privileged se ha cambiado. En ese caso, vuelva a instalar Trident.
|
Directivas de seguridad de POD (PSP)
| Campo | Descripción | Predeterminado |
|---|---|---|
|
Los contenedores con privilegios deben permitir la escala de privilegios. |
|
|
Trident no utiliza volúmenes efímeros de CSI en línea. |
Vacío |
|
Los contenedores Trident no con privilegios no requieren más funcionalidades de las que se establece de forma predeterminada y se conceden todas las funcionalidades posibles a los contenedores con privilegios. |
Vacío |
|
Trident no utiliza "Controlador FlexVolume", por lo tanto, no se incluyen en la lista de volúmenes permitidos. |
Vacío |
|
El pod del nodo Trident monta el sistema de archivos raíz del nodo, por lo que no hay ninguna ventaja para configurar esta lista. |
Vacío |
|
Trident no utiliza ninguna |
Vacío |
|
Trident no requiere que no sea seguro |
Vacío |
|
No es necesario añadir capacidades a contenedores con privilegios. |
Vacío |
|
En cada POD de Trident, se permite el escalado de privilegios. |
|
|
No |
Vacío |
|
Los contenedores Trident se ejecutan como raíz. |
|
|
El montaje de volúmenes NFS requiere que el IPC del host se comunique con |
|
|
Iscsiadm requiere que la red del host se comunique con el demonio iSCSI. |
|
|
Se requiere el PID del host para comprobar si |
|
|
Trident no utiliza puertos de host. |
Vacío |
|
Los pods de nodo Trident deben ejecutar un contenedor privilegiado para montar volúmenes. |
|
|
Los contenedores de nodos Trident deben escribir en el sistema de archivos del nodo. |
|
|
Los pods de nodo de Trident ejecutan un contenedor privilegiado y no pueden soltar las funcionalidades. |
|
|
Los contenedores Trident se ejecutan como raíz. |
|
|
Los contenedores Trident se ejecutan como raíz. |
|
|
Trident no utiliza |
Vacío |
|
Trident no está configurado |
Vacío |
|
Los contenedores Trident se ejecutan como raíz. |
|
|
Los pods de Trident requieren estos complementos de volumen. |
|
Restricciones de contexto de seguridad (SCC)
| Etiquetas | Descripción | Predeterminado |
|---|---|---|
|
Los contenedores de nodos Trident montan el sistema de archivos raíz del nodo. |
|
|
El montaje de volúmenes NFS requiere que el IPC del host se comunique con |
|
|
Iscsiadm requiere que la red del host se comunique con el demonio iSCSI. |
|
|
Se requiere el PID del host para comprobar si |
|
|
Trident no utiliza puertos de host. |
|
|
Los contenedores con privilegios deben permitir la escala de privilegios. |
|
|
Los pods de nodo Trident deben ejecutar un contenedor privilegiado para montar volúmenes. |
|
|
Trident no requiere que no sea seguro |
|
|
Los contenedores Trident no con privilegios no requieren más funcionalidades de las que se establece de forma predeterminada y se conceden todas las funcionalidades posibles a los contenedores con privilegios. |
Vacío |
|
No es necesario añadir capacidades a contenedores con privilegios. |
Vacío |
|
Los contenedores Trident se ejecutan como raíz. |
|
|
Este SCC es específico de Trident y está vinculado a su usuario. |
Vacío |
|
Los contenedores de nodos Trident deben escribir en el sistema de archivos del nodo. |
|
|
Los pods de nodo de Trident ejecutan un contenedor privilegiado y no pueden soltar las funcionalidades. |
|
|
Los contenedores Trident se ejecutan como raíz. |
|
|
Trident no está configurado |
Vacío |
|
Los contenedores privilegiados siempre funcionan "sin confinar". |
Vacío |
|
Los contenedores Trident se ejecutan como raíz. |
|
|
Se proporciona una entrada para vincular este SCC al usuario Trident en el espacio de nombres Trident. |
n.a. |
|
Los pods de Trident requieren estos complementos de volumen. |
|