堆棧內存溢出
  簡體   English   中英

securityContext.privileged: Forbidden: 集群策略不允許

[英]securityContext.privileged: Forbidden: disallowed by cluster policy

 原文  2019-07-23 04:56:09       kubernetes/ rbac/ kube-apiserver/ security-context

問題描述

我無法啟動需要特權安全上下文的 pod。 Pod 安全策略:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: pod-security-policy
spec:
  privileged: true
  allowPrivilegeEscalation: true
  readOnlyRootFilesystem: false
  allowedCapabilities:
  - '*'
  allowedProcMountTypes:
  - '*'
  allowedUnsafeSysctls:
  - '*'
  volumes:
  - '*'
  hostPorts:
  - min: 0
    max: 65535
  hostIPC: true
  hostPID: true
  hostNetwork: true
  runAsUser:
    rule: 'RunAsAny'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

集群角色:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: privileged
rules:
- apiGroups:
  - '*'
  resourceNames:
  - pod-security-policy
  resources:
  - '*'
  verbs:  
  - '*'

集群角色綁定:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: privileged-role-binding
roleRef:
  kind: ClusterRole
  name: privileged
  apiGroup: rbac.authorization.k8s.io
subjects:
# Authorize specific service accounts:
- kind: ServiceAccount
  name: default 
  namespace: kube-system
- kind: ServiceAccount
  name: default 
  namespace: default 
- kind: Group
#  apiGroup: rbac.authorization.k8s.io
  name: system:authenticated
# Authorize specific users (not recommended):
- kind: User
  apiGroup: rbac.authorization.k8s.io
  name: admin

$ k auth can-i use psp/pod-security-policy
Warning: resource 'podsecuritypolicies' is not namespace scoped in group 'extensions'
yes
$ k apply -f daemonset.yml 
The DaemonSet "daemonset" is invalid: spec.template.spec.containers[0].securityContext.privileged: Forbidden: disallowed by cluster policy

不確定是否需要,但我已將 PodSecurityContext 添加到 args/kube-apiserver --enable-admission-plugins

任何建議和見解表示贊賞。 WTF 是這樣的:“看起來您的帖子主要是代碼;請添加更多詳細信息。” !?!

1 個解決方案

解決方案1
 5  2019-07-23 10:56:13

剛剛在我當前的環境中檢查了您的 Pod 安全策略配置:

kubeadm version: &version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1"
Client Version: version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1"
Server Version: version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1"

我假設您已經在當前的 DaemonSet 清單文件中包含了 Privileged securityContext

securityContext:
  privileged: true

為了允許 Kubernetes API 生成特權容器,您可能必須將kube-apiserver標志--allow-privilegedtrue值。

--allow-privileged=true

因此,一旦我禁止使用false選項運行特權容器,我在 k8s 集群中就面臨着同樣的問題。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Kubernetes Pod安全策略默認特權值 kubernetes允許特權本地測試集群 默認情況下是否可以有一個帶有特權Pod的Kubernetes集群? Kubernetes:Linux docker-multinode集群中的特權容器 403-在 AKS 群集中的入口控制器處被禁止 集群 scope 中 API 組中的禁止資源 Kubernetes 安全上下文 AWS EKS群集自動縮放器-擴展策略 Kubernetes pod 到 pod 集群網絡策略 Kubernetes-如何在集群級別設置DNS策略
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM