問題タブ [kubernetes-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - 監査ポリシーを kube-apiserver にセットアップする方法は?
ここでkubernetesで監査をセットアップする方法について読んでいますが、これは基本的に、監査を有効にするには、フラグを使用して、起動時にkube-apiserverにyamlポリシーファイルを指定する必要があることを示しています--audit-policy-file。
さて、これを達成する方法について私が理解していないことが2つあります。
- kube-apiserver を実行するコマンドの起動パラメーターを追加/更新する適切な方法は何ですか? Pod を更新できないので、どうにかして Pod のクローンを作成する必要がありますか? または
kops edit cluster、ここで提案されているように使用する必要があります: https://github.com/kubernetes/kops/blob/master/docs/cluster_spec.md#kubeapiserver。驚いたことに、kubernetes はこのためのデプロイメントを作成しません。自分で作成する必要がありますか? - 特に監査をセットアップするには、スタートアップ引数として yaml ファイルを渡す必要があります。を作成するために、この yaml ファイルをアップロード/利用可能にするにはどうすればよいですか
--audit-policy-file=/some/path/my-audit-file.yaml。それやボリュームを使用して configMap を作成する必要がありますか? kube-apiserver 起動コマンドの実行時にファイルシステムで使用できるように、後でこのファイルを参照するにはどうすればよいですか?
ありがとう!
kubernetes - kubernetes PodSecurityPolicy が runAsNonRoot に設定され、コンテナーに runAsNonRoot があり、イメージに数値以外のユーザー (appuser) があり、ユーザーが非ルートであることを確認できません
kubernetes PodSecurityPolicy が runAsNonRoot に設定されているため、Pod が開始されず、取得エラー エラー: コンテナーには runAsNonRoot があり、イメージには数値以外のユーザー (appuser) があり、ユーザーが非ルートであることを確認できません
ユーザー (appuser) uid -> 999 とグループ (appgroup) gid -> 999 を docker コンテナーに作成し、そのユーザーでコンテナーを開始しています。
しかし、ポッドの作成はエラーをスローしています。
kubernetes - yamlファイルのargsフィールドにKubernetesシークレット値を入れる方法はありますか
以下に示すように、db ユーザー名とパスワードを引数として受け入れる kubernetes yaml デプロイメント ファイルがあります。
db_username と db_password の値を非表示にするために、kubernetes シークレットの種類を使用することを考えました。しかし、それを達成するには、環境変数として db_username と db_password を作成して、以下に示すように使用できるようにする必要があります。
2番目のアプローチを実行する必要がないように、引数自体でシークレットを使用できる方法はありますか?