Kube.netes Argo 工作流因 psp-readonlyrootfilesystem 錯誤而失敗
[英]Kubernetes Argo workflows are failing with psp-readonlyrootfilesystem error
我有以下添加了securityContext的 argo 工作流。 運行它后,它失敗並出現如下所述的 ReadOnlyRootFileSystem 錯誤。 這是工作流程 yaml。 錯誤如下: 我是在錯誤的 position 中使用 securityContext 還是遺漏了什么? 有什么解決辦法嗎 ...
system:node 無法通過 curl 從 apiserver 獲取機密
[英]system:node fails to get secrets from apiserver via curl
我正在為安全研究做一些 POC,試圖直接從工作節點訪問命名空間機密。 我在 GKE 上有一個集群,運行 Kubernetes 1.20 我正在從工作(非主)節點運行以下命令:curl -v $APISERVER/api/v1/namespaces/default/pods/ \ --cacert ...
Kubernetes 服務帳戶,具有對部署注釋的升級/修補權限
[英]Kubernetes service account with upgrade/patch permission to annotation of deployment
我想創建 kubernetes 服務帳戶和角色/rbac,這將授予修補/更新部署注釋的權限。 服務帳戶應該無法對 kubernetes 部署執行任何其他更新。 它應該僅對元數據部分具有升級和修補權限。 ...
Kubernetes 安全上下文
[英]Kubernetes securityContext
如果我刪除 spec.containers.command,我似乎無法理解為什么下面提到的 pod 清單不起作用,如果我刪除命令,pod 會失敗。 我從官方文檔中獲取了這個示例 ...
如何從 K3s 集群中的應用程序 pod 中刪除機密的依賴
[英]How can I remove dependency of secrets from application pod in K3s cluster
賞金將在 4 天后到期。 這個問題的答案有資格獲得+50聲望獎勵。 solveit正在尋找這個問題的最新答案: ...
如何在 minikube 中創建多個集群
[英]How to create more than one cluster in minikube
我需要在 minikube 中創建額外的集群。 我搜索了一段時間我沒有任何資源。如何在 minikube 中創建集群? ...
我們能否提供一個需要由 kubernetes 中的 pod/容器運行的用戶名?
[英]Can we provide a User Name that needs to be run as by a pod/containers in kubernetes?
在Pod規范中,有一個選項可以指定需要由所有容器運行的用戶 ID 有沒有辦法我們也可以更改用戶名,就像我們對 windows pod 和容器的方式一樣,如下所示 ...
使用帶有 RBAC(X509 證書)的 Helm 3 和 K8s 集群,Helm 需要哪些權限? 我認為它會為發布信息創建 ConfigMap?
[英]With Helm 3 and K8s cluster w/RBAC (X509 certs), what permissions does Helm need? I think it creates ConfigMaps for release info?
我已經將集群 (k3d) 設置為具有一些 RBAC 規則,並且還創建了一個證書來識別我的kubectl命令用戶。 我已通過特定命名空間中的RoleBinding將用戶設置為具有Role 。 我想這樣做,以便他們可以創建Deployment 、 Pod 、 Service ,但不能創建Secret或 ...
Kubernetes Secret 未以編碼格式存儲在環境變量中
[英]Kubernetes Secret is not stored in encoded format in environment variables
我是 Kubernetes 的初學者。 我創建了一個秘密文件並在部署 yaml 文件中引用它。 應用程序-secret.yaml 部署.yaml 使用命令kubectl get secret pod-54rfxd -n dev-ns -o json時,它僅以編碼格式打印用戶名和密碼。 當我使用命令k ...
如何防止用戶創建具有特定 label 的 pod?
[英]How prevent user from creating a pod with a specific label?
我知道如何使用帶有 X.509 證書的 RBAC 來識別kubectl的用戶並限制他們(使用Role和RoleBinding )在命名空間中創建任何類型的 pod。 但是,我不知道如何阻止他們將特定標簽放在他們試圖創建的 pod(或任何資源)上。 我想做的是: 創建一個NetworkPolicy ...
Kubernetes 客戶端庫 AuthenticationException
[英]Kubernetes client library AuthenticationException
我一直在使用Kubernetes Z2D50972FCECD3761295455507F1062089Z客戶庫版本現在可以訪問Z3013639595F01879792179217983179831798317983179831798317983179831798317983179831798311 ...
檢查 GKE 集群中的 PoDSecurityPolicy 狀態
[英]Checking PoDSecurityPolicy status in a GKE Cluster
如何檢查GKE集群上是否啟用了PoDSecurityPolicy ? 使用gcloud container clusters describe <clustername> ,我找不到任何東西。 如果我在已啟用此plugin的集群上啟用它,它會顯示該插件已啟用,因此實際上無法知道plugi ...
Jenkins Kubernetes 構建因禁止而失敗(用戶=系統:匿名,動詞=獲取,資源=節點,子資源=代理)
[英]Jenkins Kubernetes builds fail with Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy)
執行摘要 Jenkins 在 Kubernetes 集群中運行剛剛升級到 1.19.7 但現在 jenkins 構建腳本在運行時失敗 給出錯誤 但是我應該更改哪些權限或角色? 更多細節在這里 Jenkins 作為主節點在 Kubernetes 集群中運行,它選擇 GIT 作業,然后創建也應該在同一 ...
通過kube.netes ingress訪問spring安全
[英]Access spring security through kubernetes ingress
我在后端啟用了 tls。 所以每個流量都需要通過“https://......”到go。 我可以在本地或通過 Kube.netes 中的端口轉發訪問它。 但我無法通過 DNS 訪問它(例如https://hostname.net/backend/.... )。 我得到的答案是: 我讀到證書可能是錯誤 ...
如何使用客戶端管理的密鑰加密 Kubernetes pod 使用的實際存儲/卷(提供者端密鑰的最少/零知識)?
[英]How to encrypt actual storage/volume being used by Kubernetes pods using client managed keys(least/zero knowledge of keys on the provider side)?
我希望在我的 kubernetes 環境中擁有每個客戶端的命名空間和存儲,其中每個客戶端運行一個專用的應用程序實例,並且只有客戶端應該能夠加密/解密該特定客戶端的應用程序正在使用的存儲。 我已經在 kubernetes 環境中看到了數百個關於機密加密的示例,但努力實現由客戶端控制的實際存儲加密。 ...
如果我更新一個秘密,它是否會自動更新到它被卷安裝的所有資源?
[英]If I update a secret, does it automatically gets updated to all resources in which it is volume mounted?
我有一個秘密,我將它作為一個卷安裝在部署中。 如果我稍后更新秘密值,新的更新值是否會自動反映在我卷安裝秘密的部署 pod 中? 筆記: 我正在按照這里的答案更新秘密 從文件生成時,如何更新 Kubernetes 上的密鑰? 提前致謝。 ...
Kubernetes 服務帳號默認權限
[英]Kubernetes service account default permissions
我正在試驗服務帳戶。 我相信以下應該會產生訪問錯誤(但不會):apiVersion: v1 kind: ServiceAccount metadata: name: test-sa --- apiVersion: v1 kind: Pod metadata: name: test-pod ...
Kubernetes 中 etcd 的單獨 CA?
[英]Seperate CA for etcd in Kubernetes?
我正在學習谷歌雲(GKE)中的控制平面安全課程,並在下面的鏈接中提到“證書頒發機構和集群信任”,並有這些問題。 有人可以澄清這些嗎? https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security 了 ...
Gradle 作為非 root
[英]Gradle as non root
您能否讓我知道如何運行gradle映像(從docker存儲庫中提取),使用jib插件並在Kubernetes pod中以非root用戶身份運行? 我已經使用Gradle 4.6構建了gradle圖像。 我在我的Kubernetes pod中使用了這張圖片。 當我以用戶root身份運行映像時, gr ...
如果我可以解碼 Kubernetes 秘密,那么它們有什么意義?
[英]What is the point of Kubernetes secrets if I can decode them?
我可以輕松獲取存儲在Kubernetes中的秘密。 我想解碼的 output 中的 Select 秘密值。 示例ZXhwb3NlZC1wYXNzd29yZAo= 我不確定我是否了解Kubernetes生態系統中的秘密資源的有效性,因為它很容易獲得。 ...