【发布时间】:2017-06-22 23:48:08
【问题描述】:
一个 pod 可以有两个不同权限级别的容器吗?例如,容器“A”是常规容器,容器“B”是可以改变网络堆栈的特权容器。两个容器都将打包在一个 pod 中。现在,如果 pod 的 privileged 参数设置为 true,是否意味着两个容器现在都具有特权?还是其他?
【问题讨论】:
标签: kubernetes
【发布时间】:2017-06-22 23:48:08
【问题描述】:
pod 级别的安全上下文适用于 pod 中的所有容器,但每个容器的安全上下文可以覆盖单个容器的设置 [1]。
我建议将 pod 级别的默认值设置为尽可能安全(具有最低权限),并且只覆盖真正需要它的容器的权限设置。
【讨论】:
-
谢谢,用户 Alice 是否也有可能只能访问非特权容器之一而不能访问特权容器?如果用户 Bob 可以访问 Pod,则它可以访问所有特权用户和其他用户?