PODセキュリティ標準(PSS)およびセキュリティコンテキストの制約(SCC)
Kubernetesポッドのセキュリティ標準(PSS)とポッドのセキュリティポリシー(PSP)によって、権限レベルが定義され、ポッドの動作が制限されます。また、OpenShift Security Context Constraints(SCC)でも、OpenShift Kubernetes Engine固有のポッド制限を定義します。このカスタマイズを行うために、Astra Tridentはインストール時に特定の権限を有効にします。次のセクションでは、Astra Tridentによって設定された権限の詳細を説明します。
PSSは、Podセキュリティポリシー(PSP)に代わるものです。PSPはKubernetes v1.21で廃止され、v1.25で削除されます。詳細については、を参照してください "Kubernetes:セキュリティ"。 |
必須のKubernetes Security Contextと関連フィールド
アクセス権 | 説明 |
---|---|
権限があります |
CSIでは、マウントポイントが双方向である必要があります。つまり、Tridentノードポッドで特権コンテナを実行する必要があります。詳細については、を参照してください "Kubernetes:マウントの伝播"。 |
ホストネットワーク |
iSCSIデーモンに必要です。 |
ホストIPC |
NFSは'IPC(プロセス間通信)を使用して'nfsdと通信します |
ホストPID |
開始する必要があります |
機能 |
。 |
Seccom |
Seccompプロファイルは、権限のあるコンテナでは常に「制限なし」なので、Astra Tridentでは有効にできません。 |
SELinux |
OpenShiftでは、特権のあるコンテナがで実行されます |
DAC |
特権コンテナは、ルートとして実行する必要があります。CSIに必要なUNIXソケットにアクセスするために、非特権コンテナはrootとして実行されます。 |
PODセキュリティ標準(PSS)
ラベル | 説明 | デフォルト |
---|---|---|
|
Tridentコントローラとノードをインストールネームスペースに登録できるようにします。ネームスペースラベルは変更しないでください。 |
|
名前空間ラベルを変更すると、ポッドがスケジュールされず、「Error creating:…」または「Warning:trident-csi-…」が表示される場合があります。その場合は、のネームスペースラベルを確認してください privileged が変更されました。その場合は、Tridentを再インストールします。
|
PoDセキュリティポリシー(PSP)
フィールド | 説明 | デフォルト |
---|---|---|
|
特権コンテナは、特権昇格を許可する必要があります。 |
|
|
TridentはインラインCSIエフェメラルボリュームを使用しません。 |
空です |
|
権限のないTridentコンテナにはデフォルトよりも多くの機能が必要ないため、特権コンテナには可能なすべての機能が付与されます。 |
空です |
|
Tridentはを利用しません "FlexVolドライバ"そのため、これらのボリュームは許可されるボリュームのリストに含まれていません。 |
空です |
|
Tridentノードポッドでノードのルートファイルシステムがマウントされるため、このリストを設定してもメリットはありません。 |
空です |
|
Tridentでは使用していません |
空です |
|
Tridentでは安全でないリソースは不要です |
空です |
|
特権コンテナに追加する機能は必要ありません。 |
空です |
|
権限の昇格は、各Tridentポッドで処理されます。 |
|
|
いいえ |
空です |
|
Tridentコンテナはrootとして実行されます。 |
|
|
NFSボリュームをマウントするには、ホストIPCがと通信する必要があります |
|
|
iscsiadmには、iSCSIデーモンと通信するためのホストネットワークが必要です。 |
|
|
ホストPIDが必要かどうかを確認します |
|
|
Tridentはホストポートを使用しません。 |
空です |
|
Tridentノードのポッドでは、ボリュームをマウントするために特権コンテナを実行する必要があります。 |
|
|
Tridentノードのポッドは、ノードのファイルシステムに書き込む必要があります。 |
|
|
Tridentノードのポッドは特権コンテナを実行するため、機能をドロップすることはできません。 |
|
|
Tridentコンテナはrootとして実行されます。 |
|
|
Tridentコンテナはrootとして実行されます。 |
|
|
Tridentは使用しません |
空です |
|
Tridentが設定されていません |
空です |
|
Tridentコンテナはrootとして実行されます。 |
|
|
Tridentポッドには、このボリュームプラグインが必要です。 |
|
セキュリティコンテキストの制約(SCC)
ラベル | 説明 | デフォルト |
---|---|---|
|
Tridentノードのポッドは、ノードのルートファイルシステムをマウントします。 |
|
|
NFSボリュームをマウントするには、ホストIPCがと通信する必要があります |
|
|
iscsiadmには、iSCSIデーモンと通信するためのホストネットワークが必要です。 |
|
|
ホストPIDが必要かどうかを確認します |
|
|
Tridentはホストポートを使用しません。 |
|
|
特権コンテナは、特権昇格を許可する必要があります。 |
|
|
Tridentノードのポッドでは、ボリュームをマウントするために特権コンテナを実行する必要があります。 |
|
|
Tridentでは安全でないリソースは不要です |
|
|
権限のないTridentコンテナにはデフォルトよりも多くの機能が必要ないため、特権コンテナには可能なすべての機能が付与されます。 |
空です |
|
特権コンテナに追加する機能は必要ありません。 |
空です |
|
Tridentコンテナはrootとして実行されます。 |
|
|
このSCCはTridentに固有で、ユーザにバインドされています。 |
空です |
|
Tridentノードのポッドは、ノードのファイルシステムに書き込む必要があります。 |
|
|
Tridentノードのポッドは特権コンテナを実行するため、機能をドロップすることはできません。 |
|
|
Tridentコンテナはrootとして実行されます。 |
|
|
Tridentが設定されていません |
空です |
|
特権のあるコンテナは常に「閉鎖的」な状態で実行されます。 |
空です |
|
Tridentコンテナはrootとして実行されます。 |
|
|
このSCCをTridentネームスペースのTridentユーザにバインドするエントリが1つあります。 |
該当なし |
|
Tridentポッドには、このボリュームプラグインが必要です。 |
|