Padrões de segurança do pod (PSS) e restrições de contexto de segurança (SCC)
Os padrões de segurança do pod do Kubernetes (PSS) e as políticas de segurança do Pod (PSP) definem níveis de permissão e restringem o comportamento dos pods. As restrições de contexto de Segurança OpenShift (SCC) definem similarmente a restrição de pod específica ao OpenShift Kubernetes Engine. Para oferecer essa personalização, o Astra Trident habilita certas permissões durante a instalação. As seções a seguir detalham as permissões definidas pelo Astra Trident.
O PSS substitui as políticas de segurança do Pod (PSP). A PSP foi obsoleta no Kubernetes v1,21 e será removida em v1,25. Para obter mais informações, "Kubernetes: Segurança"consulte . |
Contexto de segurança do Kubernetes necessário e campos relacionados
Permissão | Descrição |
---|---|
Privilegiado |
O CSI exige que os pontos de montagem sejam bidirecionais, o que significa que o pod de nó do Trident deve executar um contentor privilegiado. Para obter mais informações, "Kubernetes: Propagação de montagem"consulte . |
Rede de host |
Necessário para o daemon iSCSI. |
IPC do host |
O NFS usa comunicação entre processos (IPC) para se comunicar com o NFSD. |
PID do host |
Necessário para iniciar |
Recursos |
O |
Seccomp |
O perfil Seccomp é sempre "unconfinado" em contentores privilegiados; portanto, não pode ser habilitado no Astra Trident. |
SELinux |
No OpenShift, os contentores privilegiados são executados no |
DAC |
Os contentores privilegiados devem ser executados como root. Os contentores não privilegiados são executados como root para acessar os sockets unix exigidos pelo CSI. |
Padrões de segurança do pod (PSS)
Etiqueta | Descrição | Padrão |
---|---|---|
|
Permite que o controlador Trident e os nós sejam admitidos no namespace de instalação. Não altere a etiqueta do namespace. |
|
Alterar os rótulos do namespace pode resultar em pods não sendo programados, um "erro ao criar: …" ou, "Aviso: Trident-csi-…". Se isso acontecer, verifique se a etiqueta do namespace para privileged foi alterada. Em caso afirmativo, reinstale o Trident.
|
Políticas de segurança do pod (PSP)
Campo | Descrição | Padrão |
---|---|---|
|
Os contêineres privilegiados devem permitir o escalonamento de privilégios. |
|
|
O Trident não usa volumes efêmeros de CSI inline. |
Vazio |
|
Os contêineres Trident não privilegiados não exigem mais recursos do que o conjunto padrão e os contentores privilegiados recebem todos os recursos possíveis. |
Vazio |
|
O Trident não faz uso de um "Controlador Flexvolume", portanto, eles não estão incluídos na lista de volumes permitidos. |
Vazio |
|
O pod de nó Trident monta o sistema de arquivos raiz do nó, portanto, não há benefício para definir esta lista. |
Vazio |
|
O Trident não usa nenhum |
Vazio |
|
O Trident não requer nenhum inseguro |
Vazio |
|
Não são necessários recursos para serem adicionados a contentores privilegiados. |
Vazio |
|
Permitir o escalonamento de privilégios é Tratado em cada pod Trident. |
|
|
Não |
Vazio |
|
Os contêineres do Trident são executados como raiz. |
|
|
A montagem de volumes NFS requer que o IPC do host se comunique com |
|
|
O iscsiadm requer que a rede host se comunique com o daemon iSCSI. |
|
|
O PID do host é necessário para verificar se |
|
|
O Trident não usa nenhuma porta de host. |
Vazio |
|
Os pods de nós do Trident devem executar um contêiner privilegiado para montar volumes. |
|
|
Os pods de nós do Trident devem gravar no sistema de arquivos do nó. |
|
|
Os pods de nós do Trident executam um contêiner privilegiado e não podem descartar recursos. |
|
|
Os contêineres do Trident são executados como raiz. |
|
|
Os contêineres do Trident são executados como raiz. |
|
|
O Trident não usa `RuntimeClasses`o . |
Vazio |
|
O Trident não define |
Vazio |
|
Os contêineres do Trident são executados como raiz. |
|
|
Os pods do Trident exigem esses plugins de volume. |
|
Restrições de contexto de segurança (SCC)
Etiquetas | Descrição | Padrão |
---|---|---|
|
Os pods de nó Trident montam o sistema de arquivos raiz do nó. |
|
|
A montagem de volumes NFS requer que o IPC do host se comunique com `nfsd`o . |
|
|
O iscsiadm requer que a rede host se comunique com o daemon iSCSI. |
|
|
O PID do host é necessário para verificar se |
|
|
O Trident não usa nenhuma porta de host. |
|
|
Os contêineres privilegiados devem permitir o escalonamento de privilégios. |
|
|
Os pods de nós do Trident devem executar um contêiner privilegiado para montar volumes. |
|
|
O Trident não requer nenhum inseguro |
|
|
Os contêineres Trident não privilegiados não exigem mais recursos do que o conjunto padrão e os contentores privilegiados recebem todos os recursos possíveis. |
Vazio |
|
Não são necessários recursos para serem adicionados a contentores privilegiados. |
Vazio |
|
Os contêineres do Trident são executados como raiz. |
|
|
Este SCC é específico do Trident e está vinculado ao seu usuário. |
Vazio |
|
Os pods de nós do Trident devem gravar no sistema de arquivos do nó. |
|
|
Os pods de nós do Trident executam um contêiner privilegiado e não podem descartar recursos. |
|
|
Os contêineres do Trident são executados como raiz. |
|
|
O Trident não define |
Vazio |
|
Os contentores privilegiados funcionam sempre "sem confinamentos". |
Vazio |
|
Os contêineres do Trident são executados como raiz. |
|
|
Uma entrada é fornecida para vincular esse SCC ao usuário Trident no namespace Trident. |
n/a. |
|
Os pods do Trident exigem esses plugins de volume. |
|