Containerele consul se creează ca containere privilegiate, cum să schimb asta?

uday

03.12.2022, 09:34

Cu suplimentul de politică azure activat (conform politicii organizației), nu putem crea containere privilegiate pe aks, kubernetes azure.

Aplicația noastră este setată în contextul de securitate ca mai jos.

    securityContext:
        allowPrivilegeEscalation: false
        runAsNonRoot: adevărat
        runAsUser: 999

Deci aplicația noastră poate crea fără acces privilegiat. Dar, atunci când sunt conectate cu consul (prin adnotări), containerele consul init nu reușesc să creeze.

 Avertisment FailedCreate 6s (x15 over 90s) replicaset-controller Eroare la crearea: admiterea webhook „validation.gatekeeper.sh” a refuzat cererea: [azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] Privilegiul: containerul de escaladare nu este permis - sidecar
[azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] Containerul de escaladare a privilegiilor nu este permis: consul-sidecar
[azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] Containerul de escaladare a privilegiilor nu este permis: consul-connect-inject-init

1 + 0

kubernetes

aks

Puncte:0

Server

Sam Cogan

03.12.2022, 09:47

Modul în care funcționează politica Azure pentru Kubernetes, trebuie să declarați în mod explicit pentru fiecare container allowPrivilegeEscalation valoarea fiind setată la fals. Nu este suficient ca containerul să nu o solicite, acest lucru trebuie stabilit în manifest.

Așadar, trebuie să modificați implementarea consolei pentru a vă asigura că aceasta este setată pe podurile sidecar.Nu sunt deloc familiarizat cu Consul, dar dacă este implementat cu Helm, aruncați o privire la opțiunile din fișierul de valori pentru a vedea dacă puteți seta acest lucru.

0 + 1

uday

03.12.2022, 10:16

Nu am găsit prea multe aici, dar există o proprietate enablePodSecurityPolicies . Dar este doar cu aplicarea politicilor. Nicio intrare legată de ProvilegeEscalation. https://www.consul.io/docs/k8s/helm

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Consul containers are creating as privileged containers, how to change that?

TH: คอนเทนเนอร์ Consul กำลังสร้างเป็นคอนเทนเนอร์พิเศษ จะเปลี่ยนได้อย่างไร

RO: Containerele consul se creează ca containere privilegiate, cum să schimb asta?

RU: Контейнеры Consul создаются как привилегированные контейнеры, как это изменить?

VI: Vùng chứa lãnh sự đang tạo dưới dạng vùng chứa đặc quyền, làm cách nào để thay đổi điều đó?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.