Kubernetes SecurityContext(s)

AllowPrivilegeEscalationは、プロセスが親プロセスよりもより多くの特権を得ることができるかどうかを制御します。このブール値は、コンテナプロセスにno_new_privsフラグが設定されるかどうかを直接制御します。AllowPrivilegeEscalationは、コンテナがPrivilegedとして実行されるか、CAP_SYS_ADMINを持つ場合は常にtrueです。

コンテナを実行する際に追加/削除するcapabilities。デフォルトはデフォルトのcapabilitiesのセットです。

特権モードでコンテナを実行します。特権コンテナ内のプロセスは、基本的にホスト上のrootと同等です。デフォルトはfalseです。

procMountは、コンテナに使用するprocマウントのタイプを示します。デフォルトはDefaultProcMountで、読み取り専用パスとマスクされたパスのためにコンテナランタイムのデフォルトを使用します。

このコンテナが読み取り専用のルートファイルシステムを持つかどうか。デフォルトはfalseです。

コンテナプロセスのエントリポイントを実行するためのGID。未設定の場合はランタイムのデフォルトを使用します。

コンテナが非rootユーザーとして実行される必要があることを示します。trueの場合、Kubeletはランタイムでイメージを検証し、UID 0（root）として実行されないことを確認し、そうであればコンテナの起動に失敗します。

コンテナプロセスのエントリポイントを実行するためのUID。未指定の場合は、イメージメタデータで指定されたユーザーがデフォルトになります。

コンテナに適用されるSELinuxコンテキスト。未指定の場合、コンテナランタイムは各コンテナに対してランダムなSELinuxコンテキストを割り当てます。

このコンテナが使用するseccompオプション。

すべてのコンテナに適用されるWindows特有の設定。

すべてのコンテナに適用される特別な補助グループ。一部のボリュームタイプでは、Kubeletがそのボリュームの所有権を変更することを許可します： 1. 所有するGIDはFSGroupになります 2. setgidビットが設定されます（ボリューム内で作成された新しいファイルはFSGroupが所有します） 3. 権限ビットはrw-rw----とORされます。未設定の場合、Kubeletはボリュームの所有権と権限を変更しません。

これは、Pod内で公開される前にボリュームの所有権と権限を変更する動作を定義します。

コンテナプロセスのエントリポイントを実行するためのGID。未設定の場合はランタイムのデフォルトを使用します。

コンテナが非rootユーザーとして実行される必要があることを示します。trueの場合、Kubeletはランタイムでイメージを検証し、UID 0（root）として実行されないことを確認し、そうであればコンテナの起動に失敗します。

コンテナプロセスのエントリポイントを実行するためのUID。未指定の場合は、イメージメタデータで指定されたユーザーがデフォルトになります。

すべてのコンテナに適用されるSELinuxコンテキスト。未指定の場合、コンテナランタイムは各コンテナに対してランダムなSELinuxコンテキストを割り当てます。

このPod内のコンテナが使用するseccompオプション。

各コンテナで実行される最初のプロセスに適用されるグループのリスト。コンテナの主要GIDに加えて。

Sysctlsは、Podに使用される名前空間付きsysctlsのリストを保持します。サポートされていないsysctlsを持つPod（コンテナランタイムによって）は起動に失敗する可能性があります。

すべてのコンテナに適用されるWindows特有の設定。未指定の場合、コンテナのSecurityContext内のオプションが使用されます。