Var būt grūti pārvaldīt privilēģiju pakāpi, kas tiek nodrošināta katram Kubernetes konteinera podam un konteineram. Mēs varam izmantot Kubernetes SecurityContext iespējas, lai pievienotu vai dzēstu Linux iespējas no Pod un Container, lai palielinātu konteinera drošību. Šajā rakstā galvenā uzmanība pievērsta drošības konteksta izmantošanai, lai ieviestu vienkāršu iespēju pievienošanas un dzēšanas piemēru. Yaml faila konfigurācija, lai dzēstu visas iespējas un konteineram pievienotu tikai vienu iespēju, ir sniegta parauga piemērā. Šajā rakstā komandas proc un capsh tiek izmantotas, lai parādītu konteinera iespējas.

1. darbība: startējiet Minikube serveri

Vispirms startējiet minikube serveri, lai varētu palaist lietojumprogrammu un izmantot kubectl instrukcijas. Varat izvietot savus mezglus, apvidus un pat klasteri, izmantojot minikube serveri Kubernetes vidē. Lai uzturētu minikube aktīvā režīmā, ir jāizmanto šāda komanda:

To darot, minikube serveris tiek ieslēgts un Kubernetes vide ir gatava lietošanai.

2. darbība: Izveidojiet Kubernetes YAML failu

Otrajā darbībā izveidojiet YAML failu, lai izvietotu podziņu.

Lai izveidotu yaml failu, izmantojot nano, veiciet tālāk norādītās darbības.

• Dodieties uz direktorijas ceļu, kurā vēlaties izveidot failu vai modificēt esošu failu.
• Ievadiet nano komandu, kam seko faila nosaukums.

Palaidiet šādu nano komandu. Tas izveido YAML konfigurācijas failu ar nosaukumu “nano podsample.yaml”.

Pāriesim pie nākamās darbības, kas palīdzēs jums uzzināt, kā konfigurēt failu podsample.yaml.

3. darbība: Konfigurējiet YAML failu

Mēs pievienojam capsh rīku iepriekšējā darbībā, lai mēs varētu redzēt mūsu konteinera iespējas.

Ņemiet vērā, ka neviens no šiem parametriem nav konfigurēts šī konteinera sadaļai securityContext. Tādējādi tie visi ir iestatīti uz sistēmas noklusējuma iestatījumiem. Apsveriet faktu, ka šis konteiners darbojas kā noklusējuma lietotājs, kas tiek nodrošināts Docker failā, no kura tas ir izveidots, ja Kubernetes tam nav definēts neviens lietotājs. Daudziem konteineriem šis noklusējuma lietotājs ir saknes lietotājs.

4. darbība: Izveidojiet Pod

Šajā darbībā izveidosim podsample.yaml ar šādu pievienoto komandu:

5. darbība: Pārbaudiet iespējas

Iepriekšējā darbībā tiek izveidots un darbojas pods.

Tagad, kad tajā ir apvalks, mēs varam izmantot capsh, lai pārbaudītu tā iespējas, izmantojot šādu komandu:

Izmantojot komandu capsh, ir iespējams redzēt konteinera noklusējuma ietilpības, kas ir norādītas šādi:

No dotās izvades mēs varam novērot, ka konteineram ir daudzas noklusējuma iespējas, kas konteineram tiek piešķirtas izpildes laikā.

6. darbība: Nometiet Viens Spēja Y sadaļā Kubernetes SecurityContext

Šajā darbībā mēs atmetam konteinera vienu iespēju.

Konfigurēsim yaml failu, izmantojot šādu komandu:

Pēc tam pārejiet uz faila droppod.yaml konfigurēšanu, izmantojot šo norādīto komandu:

Solis 7 : Konfigurējiet, lai YAML failā pievienotu vienu iespēju

Šajā darbībā atveriet yaml failu (dropped.yaml), kas tika izveidots 6. darbībā. Pēc tam iestatiet konteineru tā, lai tam vairs nebūtu piekļuves CAP_MKNOD iespējai, kas noņem iespēju izveidot jaunus failu sistēmas mezglus.

Konfigurētais fails ir šāds:

Solis 8 : Pārbaudiet iespējas

Yaml fails ir konfigurēts, lai atmestu CAP_MKNOD iespēju.

Šajā darbībā izpildiet un palaidiet failu dropcaps.yaml, lai pārbaudītu konteinera iespējas, izmantojot šo komandu:

Jaudas var pārbaudīt, palaižot dropcaps failu:

Varam novērot, ka šis pods samazināja CAP_MKNOD spēju, salīdzinot ar pirmo podiņu.

Solis 9 : Atmetiet visas iespējas Kubernetes SecurityContext

Tā kā Kubernetes var atmest vienu iespēju, tas var arī atmest visas iespējas, izmantojot securityContext. Šajā darbībā atmetiet visas konteinera iespējas, norādot norādīto komandu:

Pēc tam konfigurējiet failu samplenocap.yaml, izmantojot šo komandu:

Tagad pāriesim pie nākamās darbības, lai atmestu visas iespējas mūsu drošības konteksta iestatījumos.

10. darbība: konfigurējiet visas YAML faila iespējas

Šajā darbībā atveriet yaml failu, kas tika izveidots 9. darbībā. Pēc tam konfigurējiet konteinerā container.securityContext un atmetiet visas konteinera iespējas.

Konfigurētais fails ir šāds:

Solis vienpadsmit : Pārbaudiet iespējas

Palaidiet nocaps in capsh, lai redzētu informāciju par iespējām. Šajā darbībā izmantojiet šo komandu un parādiet visas konteinera iespējas:

Jaudas var pārbaudīt šajā ilustrācijā, palaižot samplenocaps yaml failu capsh formātā:

Iepriekšējā izvade parāda, ka pašreizējā =”” un ierobežojošā kopa=”” tagad ir tukšas. Iespējas ir veiksmīgi nomestas.

1. darbība 2 : Instalējiet Bash

Šajā darbībā instalējiet Bash, izmantojot apk, jo dažas sistēmas funkcijas nedarbosies, ja mums vispār nav iespēju. Pat ja mūsu konteiners darbojas kā sakne, Bash pakotnes instalēšana neizdodas.

1. darbība 3 : Pārbaudiet informāciju par iespējām

Ir vairāki veidi, kā apskatīt mūsu konteinera iespējas, piemēram, izmantojot komandas capsh un proc. Šajā darbībā mēs parādām konteinera ietilpības, izmantojot komandu proc, un proc parāda jaudas kā bitkarti. Lai gan tas nav tik labi nolasāms kā capsh rezultāts, katrs šeit definētais bits apzīmē noteiktu iespēju.

Šeit mēs redzam, ka šim konkrētajam konteineram nav iespējotu iespēju; visas šīs vērtības ir nulle.

1. darbība 4 : Vienas iespējas pievienošana Kubernetes SecurityContext

Iepriekšējās darbībās mēs atteicāmies no vienas iespējas, kas ir CAP_MKNOD, un atteicāmies no visām iespējām. Bet šajā solī mēs varam pievienot iespējas atpakaļ.

Lai izveidotu yAML failu, izpildiet šo komandu:

Pēc tam konfigurējiet failu sampleadd.yaml.

Tagad izmēģināsim failu sampleadd.yaml un pievienosim vienu ietilpību mūsu securityContext iestatījumos.

1. darbība 5 : Konfigurējiet vienu iespēju YAML failā

Tagad konfigurēsim failu, pievienojot spec.container.securityContext iespēju capabilities.add [“MKNOD”].

Iespēja tiek parādīta YAML failā.

Solis 16 : Pārbaudiet iespējas

Šajā darbībā palaidiet addcaps, lai pārbaudītu iespējas, izmantojot šo komandu:

Pievienoto jaudu var redzēt šādā dotajā izvadē:

strāva = cap_mknod+ep

Ierobežojošā kopa = cap_mknod

Secinājums

Vispirms no ieviestā piemēra uzzinājāt par konteinera noklusējuma iespējām, kas tiek piešķirtas izpildes laikā, kas tiek parādīts ar komandu capsh. Pēc tam jūs iemācījāties ievietot vienu iespēju konteinerā ar nosaukumu CAP_MKNOD. Pēc tam jūs arī uzzinājāt, kā atmest visas konteinera iespējas, izmantojot //drop: –all konfigurāciju. Pēc tam mēs izmantojām divus veidus, kā parādīt konteineru iespējas - izmantojot komandas capsh un proc.