Normes de sécurité des modules (PSS) et contraintes de contexte de sécurité (SCC)
Suggérer des modifications
PDF
Les normes de sécurité des pods Kubernetes (PSS) et les politiques de sécurité des pods (PSP) définissent les niveaux d'autorisation et restreignent le comportement des pods. Les contraintes de contexte de sécurité OpenShift (SCC) définissent de la même manière les restrictions de pod spécifiques au moteur Kubernetes d'OpenShift. Pour permettre cette personnalisation, Trident active certaines autorisations lors de l'installation. Les sections suivantes détaillent les autorisations définies par Trident.
|
PSS remplace les politiques de sécurité des pods (PSP). PSP a été déprécié dans Kubernetes v1.21 et sera supprimé dans la v1.25. Pour plus d'informations, veuillez consulter"Kubernetes : Sécurité" . |
Contexte de sécurité Kubernetes requis et champs associés
| Autorisation | Description |
|---|---|
Privilégié |
CSI exige que les points de montage soient bidirectionnels, ce qui signifie que le pod du nœud Trident doit exécuter un conteneur privilégié. Pour plus d'informations, veuillez consulter"Kubernetes : Propagation du montage" . |
Réseau hôte |
Requis pour le démon iSCSI. |
IPC de l'hôte |
NFS utilise la communication interprocessus (IPC) pour communiquer avec le NFSD. |
PID de l'hôte |
Nécessaire pour démarrer |
Capacités |
Le |
Seccomp |
Le profil Seccomp est toujours « non confiné » dans les conteneurs privilégiés ; par conséquent, il ne peut pas être activé dans Trident. |
SELinux |
Sur OpenShift, les conteneurs privilégiés sont exécutés dans le |
DAC |
Les conteneurs privilégiés doivent être exécutés en tant que root. Les conteneurs non privilégiés s'exécutent en tant que root pour accéder aux sockets Unix requis par CSI. |
Normes de sécurité des capsules (PSS)
| Étiquette | Description | Défaut |
|---|---|---|
|
Permet d'admettre le contrôleur Trident et les nœuds dans l'espace de noms d'installation. Ne modifiez pas l'étiquette de l'espace de noms. |
|
|
Modifier les étiquettes d'espace de noms peut empêcher la planification des pods, entraîner une erreur lors de la création de : … ou un avertissement : trident-csi-…. Si cela se produit, vérifiez si l'étiquette d'espace de noms pour privileged a été modifié. Si c'est le cas, réinstallez Trident.
|
Politiques de sécurité des pods (PSP)
| Champ | Description | Défaut |
|---|---|---|
|
Les conteneurs privilégiés doivent autoriser l'élévation de privilèges. |
|
|
Trident n'utilise pas de volumes éphémères CSI en ligne. |
Vide |
|
Les conteneurs Trident non privilégiés ne nécessitent pas plus de capacités que l'ensemble par défaut, tandis que les conteneurs privilégiés se voient accorder toutes les capacités possibles. |
Vide |
|
Trident n'utilise pas de"Pilote FlexVolume" , par conséquent, ils ne sont pas inclus dans la liste des volumes autorisés. |
Vide |
|
Le pod du nœud Trident monte le système de fichiers racine du nœud ; par conséquent, la configuration de cette liste ne présente aucun avantage. |
Vide |
|
Trident n'utilise aucun |
Vide |
|
Trident ne nécessite aucune protection contre les risques. |
Vide |
|
Aucune fonctionnalité supplémentaire n'est requise pour les conteneurs privilégiés. |
Vide |
|
L'autorisation d'élévation de privilèges est gérée dans chaque pod Trident . |
|
|
Non |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Le montage de volumes NFS nécessite que l'IPC de l'hôte communique avec |
|
|
iscsiadm nécessite que le réseau hôte communique avec le démon iSCSI. |
|
|
Le PID de l'hôte est requis pour vérifier si |
|
|
Trident n'utilise aucun port hôte. |
Vide |
|
Les pods de nœuds Trident doivent exécuter un conteneur privilégié pour pouvoir monter des volumes. |
|
|
Les pods de nœud Trident doivent écrire sur le système de fichiers du nœud. |
|
|
Les pods de nœuds Trident exécutent un conteneur privilégié et ne peuvent pas supprimer de fonctionnalités. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Trident n'utilise pas |
Vide |
|
Trident ne définit pas |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Les modules Trident nécessitent ces plugins de volume. |
|
Contraintes de contexte de sécurité (CCS)
| Étiquettes | Description | Défaut |
|---|---|---|
|
Les pods de nœud Trident montent le système de fichiers racine du nœud. |
|
|
Le montage de volumes NFS nécessite que l'IPC de l'hôte communique avec |
|
|
iscsiadm nécessite que le réseau hôte communique avec le démon iSCSI. |
|
|
Le PID de l'hôte est requis pour vérifier si |
|
|
Trident n'utilise aucun port hôte. |
|
|
Les conteneurs privilégiés doivent autoriser l'élévation de privilèges. |
|
|
Les pods de nœuds Trident doivent exécuter un conteneur privilégié pour pouvoir monter des volumes. |
|
|
Trident ne nécessite aucune protection contre les risques. |
|
|
Les conteneurs Trident non privilégiés ne nécessitent pas plus de capacités que l'ensemble par défaut, tandis que les conteneurs privilégiés se voient accorder toutes les capacités possibles. |
Vide |
|
Aucune fonctionnalité supplémentaire n'est requise pour les conteneurs privilégiés. |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Ce SCC est spécifique à Trident et est lié à son utilisateur. |
Vide |
|
Les pods de nœud Trident doivent écrire sur le système de fichiers du nœud. |
|
|
Les pods de nœuds Trident exécutent un conteneur privilégié et ne peuvent pas supprimer de fonctionnalités. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Trident ne définit pas |
Vide |
|
Les conteneurs privilégiés s'exécutent toujours en mode « non confiné ». |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Une entrée est prévue pour lier ce SCC à l'utilisateur Trident dans l'espace de noms Trident . |
n / A |
|
Les modules Trident nécessitent ces plugins de volume. |
|