在Kubernetes / OpenShift中与sysctl进行交互
将任何Pod /容器部署到Kubernetes或OpenShift上时,请以最小的特权,对功能的最小访问权限进行部署,并在可能的情况下(通过安全上下文和安全上下文约束(SCC))避免root(0)用户。
由于需要部署可能需要通过sysctl修改某些内核参数的容器(由于Elasticsearch而引起的咳嗽,咳嗽,SonarQube ...),我希望在安全性方面使部署尽可能地安全。
注意: SCC控制Pod可以执行的动作以及可以访问的内容。 Kubernetes中的等效项是Pod安全策略(PSP)。
概括
如果使用将sysctls作为部署的一部分进行修改,则此存储库中包含的SCC(可以轻松转换为Kubernetes的PSP)将减少可为部署中的initContainer /容器设置的权限/特权。可能的。 部署配置还配置
