任務
按照如下要求修改sec-ns命名空間裏的Deployment secdep
1、用ID爲30000的用戶啓動容器(設置用戶1D爲:30000)
2、不允許進程獲得超出其父進程的特權(禁止allowPrivilegeEscalation)
3、以只讀方式加載容器的根文件系統(對根文件的只讀權限)
解題
- 修改deployment secdep,添加配置
kubectl edit deploy secdep -n sec-ns
spec:
securityContext: #增加這兩行完成任務1
runAsUser: 30000
...
containers:
securityContext: #增加這三行完成任務2,3
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
...
containers: #如果有多個容器,每個容器都要增加這三行
securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
- 保存,檢查是否添加成功,不成功說明沒加對,需要重新添加
kubectl -n sec-ns get all
參考
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/