Normes de sécurité de pod (PSS) et contraintes de contexte de sécurité (SCC)
Suggérer des modifications
PDF
Les normes de sécurité de Kubernetes Pod (PSS) et les règles de sécurité de Pod (PSP) définissent des niveaux d'autorisation et limitent le comportement des pods. OpenShift Security Context Constraints (SCC) définit de façon similaire les restrictions de pod spécifiques à OpenShift Kubernetes Engine. Pour offrir cette personnalisation, Astra Trident autorise certaines autorisations lors de l'installation. Les sections suivantes décrivent en détail les autorisations définies par Astra Trident.
|
PSS remplace les politiques de sécurité Pod (PSP). La PSP est obsolète dans Kubernetes v1.21 et elle sera supprimée dans la version 1.25. Pour plus d'informations, reportez-vous "Kubernetes : sécurité"à . |
Contexte de sécurité Kubernetes requis et champs associés
| Autorisations | Description |
|---|---|
Privilégié |
CSI nécessite que les points de montage soient bidirectionnels, ce qui signifie que le pod de nœud Trident doit exécuter un conteneur privilégié. Pour plus d'informations, reportez-vous "Kubernetes : propagation du montage"à . |
Mise en réseau d'hôtes |
Requis pour le démon iSCSI. |
IPC de l'hôte |
Le NFS utilise la communication interprocess (IPC) pour communiquer avec le NFSD. |
PID de l'hôte |
Nécessaire pour démarrer |
Capacités |
Cette |
Seccomp |
Le profil Seccomp est toujours « confiné » dans des conteneurs privilégiés. Par conséquent, il ne peut pas être activé sur Astra Trident. |
SELinux |
Sur OpenShift, les conteneurs privilégiés sont exécutés dans |
DAC |
Les conteneurs privilégiés doivent être exécutés en tant que root. Les conteneurs non privilégiés s'exécutent comme root pour accéder aux sockets unix requis par CSI. |
Normes de sécurité du pod (PSS)
| Étiquette | Description | Valeur par défaut |
|---|---|---|
|
Permet au contrôleur et aux nœuds Trident d'être admis dans le namespace d'installation. Ne modifiez pas le libellé de l'espace de noms. |
|
|
La modification des étiquettes de l'espace de noms peut entraîner l'absence de planification des modules, un "erreur de création: …" ou un "avertissement: trident-csi-…". Dans ce cas, vérifiez si le libellé de l'espace de noms pour privileged a été modifié. Si c'est le cas, réinstallez Trident.
|
Politiques de sécurité des pods (PSP)
| Champ | Description | Valeur par défaut |
|---|---|---|
|
Les conteneurs privilégiés doivent autoriser l'escalade des privilèges. |
|
|
Trident n'utilise pas les volumes éphémères CSI en ligne. |
Vide |
|
Les conteneurs Trident non privilégiés ne nécessitent pas de fonctionnalités supérieures à celles des ensembles par défaut et les conteneurs privilégiés se voient accorder toutes les capacités possibles. |
Vide |
|
Trident n'utilise pas un "Pilote FlexVolume", donc ils ne sont pas inclus dans la liste des volumes autorisés. |
Vide |
|
Le pod des nœuds Trident monte le système de fichiers racine du nœud, ce qui ne permet donc pas de définir cette liste. |
Vide |
|
Trident n'utilise aucun |
Vide |
|
Trident n'exige pas de sécurité |
Vide |
|
Aucune fonctionnalité n'est requise pour être ajoutée aux conteneurs privilégiés. |
Vide |
|
L'autorisation de réaffectation des privilèges est gérée dans chaque pod Trident. |
|
|
Non |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Le montage des volumes NFS nécessite la communication de l'IPC hôte avec |
|
|
Iscsiadm nécessite que le réseau hôte communique avec le démon iSCSI. |
|
|
Le PID de l'hôte est nécessaire pour vérifier si |
|
|
Trident n'utilise aucun port hôte. |
Vide |
|
Les pods de nœuds Trident doivent exécuter un conteneur privilégié pour monter des volumes. |
|
|
Les pods de nœuds Trident doivent écrire dans le système de fichiers de nœuds. |
|
|
Les pods de nœuds Trident exécutent un conteneur privilégié et ne peuvent pas supprimer de fonctionnalités. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Trident n'utilise pas |
Vide |
|
Trident ne définit pas |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Les pods Trident requièrent ces plug-ins de volume. |
|
Contraintes de contexte de sécurité (SCC)
| Étiquettes | Description | Valeur par défaut |
|---|---|---|
|
Les pods des nœuds Trident montent le système de fichiers racine du nœud. |
|
|
Le montage des volumes NFS nécessite la communication de l'IPC hôte avec |
|
|
Iscsiadm nécessite que le réseau hôte communique avec le démon iSCSI. |
|
|
Le PID de l'hôte est nécessaire pour vérifier si |
|
|
Trident n'utilise aucun port hôte. |
|
|
Les conteneurs privilégiés doivent autoriser l'escalade des privilèges. |
|
|
Les pods de nœuds Trident doivent exécuter un conteneur privilégié pour monter des volumes. |
|
|
Trident n'exige pas de sécurité |
|
|
Les conteneurs Trident non privilégiés ne nécessitent pas de fonctionnalités supérieures à celles des ensembles par défaut et les conteneurs privilégiés se voient accorder toutes les capacités possibles. |
Vide |
|
Aucune fonctionnalité n'est requise pour être ajoutée aux conteneurs privilégiés. |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Ce SCC est spécifique à Trident et lié à son utilisateur. |
Vide |
|
Les pods de nœuds Trident doivent écrire dans le système de fichiers de nœuds. |
|
|
Les pods de nœuds Trident exécutent un conteneur privilégié et ne peuvent pas supprimer de fonctionnalités. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Trident ne définit pas |
Vide |
|
Les conteneurs privilégiés s'exécutent toujours « sans limite ». |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Une entrée est fournie pour lier ce SCC à l'utilisateur Trident dans l'espace de noms Trident. |
s/o |
|
Les pods Trident requièrent ces plug-ins de volume. |
|