【问题标题】:Security concern using EFS file system with EKS in a multi tenant Kubernetes cluster在多租户 Kubernetes 集群中使用 EFS 文件系统和 EKS 的安全问题
【发布时间】:2020-11-11 07:23:23
【问题描述】:

我们目前正在 EKS 中构建多租户集群。对于我们的持久存储,我们使用 Amazon EFS CSI 驱动程序https://docs.aws.amazon.com/eks/latest/userguide/efs-csi.html

我们正在尝试为每个 PV 使用具有不同文件夹的单个 EFS。

我们面临的问题是需要在节点组级别应用安全组,所以现在任何具有足够高权限的 pod 都可以挂载 EFS 驱动器并删除上面的任何内容。

有没有办法解决这个安全问题?

【问题讨论】:

    标签: amazon-web-services kubernetes amazon-eks amazon-efs


    【解决方案1】:

    AFAIK,唯一的方法是使用UNIX style permissions in your EFS drive。基本上,您可以基于 UNIX UID/GID 提前为子目录创建这些权限,然后您可以使用 SecurityContext 强制您的 pod 启动某个 UID/GID(和 fsGroup)。

    此外,您还可以使用MutatingAdminssionWebhooks,以便您的 pod 始终根据它们运行的​​命名空间自动添加 securityContext。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2022-07-21
      • 2018-07-01
      • 2019-06-20
      • 2018-09-26
      • 1970-01-01
      • 2021-03-25
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多