我正在学习有关Kubernetes Pod安全策略的更多信息,并且在浏览字段列表时,找不到Privileged标志的默认值。该值取决于所使用的容器运行时吗?例如,Docker containers默认情况下将此值设置为false,因此,如果我有一个仅包含Docker容器的Kubernetes集群,是否所有Pod都没有特权?
答案 0 :(得分:1)
容器规范的SecurityContext上有一个特权标志。默认值为false。
通过下面的模板为例,您可以将其设置为true。
apiVersion: v1
kind: Pod
metadata:
name: hello-world
spec:
containers:
- name: hello-world-container
# The container definition
# ...
securityContext:
privileged: true
答案 1 :(得分:1)
在新群集中,默认PSP非常允许,这意味着您几乎可以允许任何操作。因此,默认情况是,如果在pod上切换了特权标志(与root用户相同),则将允许特权容器。
如果要强制执行,则必须在PSP中显式地将标志设置为true。我相信,不管使用什么容器运行时,都是如此,它也适用于Windows容器:)