Vùng chứa lãnh sự đang tạo dưới dạng vùng chứa đặc quyền, làm cách nào để thay đổi điều đó?

uday

09:34, 03/12/2022

Khi addon chính sách Azure được bật (theo chính sách của tổ chức), chúng tôi không thể tạo vùng chứa đặc quyền trên aks, Azure kubernetes.

Ứng dụng của chúng tôi được đặt thành ngữ cảnh bảo mật như bên dưới.

    bối cảnh bảo mật:
        allowPrivilegeEscalation: sai
        runAsNonRoot: đúng
        runAsUser: 999

Vì vậy, ứng dụng của chúng tôi có thể tạo mà không cần quyền truy cập đặc quyền. Tuy nhiên, khi được liên kết với lãnh sự (thông qua chú thích), các bộ chứa init của lãnh sự không thể tạo được.

 Cảnh báo Không thành côngTạo bộ điều khiển bản sao 6s (x15 trên 90s) Lỗi khi tạo: nhập webhook "validation.gatekeeper.sh" đã từ chối yêu cầu: [azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] Vùng chứa leo thang đặc quyền không được phép: đặc phái viên -xe phụ
[azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] Vùng chứa leo thang đặc quyền không được phép: consul-sidecar
[azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] Không cho phép vùng chứa leo thang đặc quyền: consul-connect-inject-init

1 + 0

kubernetes

aks

Điểm:0

Server

Sam Cogan

09:47, 03/12/2022

Cách chính sách Azure cho Kubernetes hoạt động, bạn cần khai báo rõ ràng cho từng vùng chứa allowPrivilegeEscalation giá trị được đặt thành false. Nó không đủ để vùng chứa không yêu cầu nó, điều này phải được đặt trong tệp kê khai.

Vì vậy, bạn cần sửa đổi cách triển khai bảng điều khiển của mình để đảm bảo rằng điều này đang được đặt trên các nhóm sidecar.Tôi không rành lắm về Consul, nhưng nếu nó đang được triển khai với Helm, hãy xem các tùy chọn trong tệp giá trị để xem bạn có thể đặt tùy chọn này không.

0 + 1

uday

10:16, 03/12/2022

Tôi không tìm thấy nhiều ở đây, nhưng có một thuộc tính enablePodSecurityPolicies . Nhưng đó chỉ là với việc áp dụng các chính sách. Không có mục nào liên quan đến ProvilegeEscalation. https://www.consul.io/docs/k8s/helm

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Consul containers are creating as privileged containers, how to change that?

TH: คอนเทนเนอร์ Consul กำลังสร้างเป็นคอนเทนเนอร์พิเศษ จะเปลี่ยนได้อย่างไร

RO: Containerele consul se creează ca containere privilegiate, cum să schimb asta?

RU: Контейнеры Consul создаются как привилегированные контейнеры, как это изменить?

VI: Vùng chứa lãnh sự đang tạo dưới dạng vùng chứa đặc quyền, làm cách nào để thay đổi điều đó?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.