Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créez une stratégie de sécurité de pod personnalisée

Contributeurs
PDF

Astra Control doit créer et gérer des pods Kubernetes sur les clusters qu'il gère. Si votre cluster utilise une politique de sécurité de pod restrictive qui ne permet pas la création de pod privilégié ou l'exécution des processus dans les conteneurs de pod en tant qu'utilisateur racine, vous devez créer une stratégie de sécurité de pod moins restrictive pour permettre à Astra Control de créer et de gérer ces pods.

Étapes

  1. Créez une politique de sécurité du pod pour le cluster qui est moins restrictive par défaut et enregistrez-la dans un fichier. Par exemple :

    apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: astracontrol
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
  privileged: true
  allowPrivilegeEscalation: true
  allowedCapabilities:
  - '*'
  volumes:
  - '*'
  hostNetwork: true
  hostPorts:
  - min: 0
    max: 65535
  hostIPC: true
  hostPID: true
  runAsUser:
    rule: 'RunAsAny'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

  2. Créez un nouveau rôle pour la stratégie de sécurité du pod.

    kubectl-admin create role psp:astracontrol \
    --verb=use \
    --resource=podsecuritypolicy \
    --resource-name=astracontrol

  3. Lier le nouveau rôle au compte de service.

    kubectl-admin create rolebinding default:psp:astracontrol \
    --role=psp:astracontrol \
    --serviceaccount=astracontrol-service-account:default