Notes de mise à jour
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.
Créez une stratégie de sécurité de pod personnalisée
Contributeurs
Suggérer des modifications
PDF
Astra Control doit créer et gérer des pods Kubernetes sur les clusters qu’il gère. Si votre cluster utilise une politique de sécurité de pod restrictive qui ne permet pas la création de pod privilégié ou l’exécution des processus dans les conteneurs de pod en tant qu’utilisateur racine, vous devez créer une stratégie de sécurité de pod moins restrictive pour permettre à Astra Control de créer et de gérer ces pods.
Étapes
-
Créez une politique de sécurité du pod pour le cluster qui est moins restrictive par défaut et enregistrez-la dans un fichier. Par exemple :
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: astracontrol annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*' spec: privileged: true allowPrivilegeEscalation: true allowedCapabilities: - '*' volumes: - '*' hostNetwork: true hostPorts: - min: 0 max: 65535 hostIPC: true hostPID: true runAsUser: rule: 'RunAsAny' seLinux: rule: 'RunAsAny' supplementalGroups: rule: 'RunAsAny' fsGroup: rule: 'RunAsAny' -
Créez un nouveau rôle pour la stratégie de sécurité du pod.
kubectl-admin create role psp:astracontrol \ --verb=use \ --resource=podsecuritypolicy \ --resource-name=astracontrol -
Lier le nouveau rôle au compte de service.
kubectl-admin create rolebinding default:psp:astracontrol \ --role=psp:astracontrol \ --serviceaccount=astracontrol-service-account:default