Openshift - SCC
Last updated
Last updated
Mwandishi halisi wa ukurasa huu ni Guillaume
Katika muktadha wa OpenShift, SCC inasimama kwa Security Context Constraints. Security Context Constraints ni sera zinazodhibiti ruhusa kwa pods zinazoendesha kwenye vikundi vya OpenShift. Zinadefini paramita za usalama ambazo pod inaruhusiwa kuendesha chini yake, ikiwa ni pamoja na vitendo gani inaweza kutekeleza na ni rasilimali gani inaweza kupata.
SCCs husaidia wakurugenzi kutekeleza sera za usalama kote kwenye kikundi, kuhakikisha kuwa pods zinaendesha na ruhusa sahihi na kufuata viwango vya usalama vya shirika. Vizuizi hivi vinaweza kufafanua vipengele mbalimbali vya usalama wa pod, kama vile:
Uwezo wa Linux: Kizuia uwezo uliopo kwa vyombo, kama uwezo wa kutekeleza vitendo vya kipekee.
Muktadha wa SELinux: Kutekeleza muktadha wa SELinux kwa vyombo, ambao hufafanua jinsi michakato inavyoshirikiana na rasilimali kwenye mfumo.
Mfumo wa mizizi wa kusoma tu: Kuzuia vyombo kuhariri faili katika saraka fulani.
Saraka na vifaa vya mwenyeji vinavyoruhusiwa: Kufafanua ni saraka na vifaa vya mwenyeji vipi pod inaweza kufunga.
Tekeleza kama UID/GID: Kufafanua kitambulisho cha mtumiaji na kikundi ambacho mchakato wa chombo unafanya kazi chini yake.
Sera za mtandao: Kudhibiti upatikanaji wa mtandao kwa pods, kama kuzuia trafiki ya kutoka.
Kwa kusanidi SCCs, wakurugenzi wanaweza kuhakikisha kuwa pods zinaendesha na kiwango sahihi cha kujitenga kiusalama na udhibiti wa upatikanaji, kupunguza hatari ya mapungufu ya usalama au upatikanaji usiohalali ndani ya kikundi.
Kimsingi, kila wakati ombi la kupeleka pod linahitajika, mchakato wa idhini unatekelezwa kama ifuatavyo:
Tabaka hili la ziada la usalama kwa chaguo-msingi linazuia uundaji wa pods zenye haki za kipekee, kufunga mfumo wa faili wa mwenyeji, au kuweka sifa yoyote inayoweza kusababisha ongezeko la haki za kipekee.
Kutaja SCC zote na Mteja wa Openshift:
Watumiaji wote wana ufikivu wa SCC ya msingi "iliyozuiwa" na "iliyozuiwa-v2" ambazo ni SCC za mkali zaidi.
SCC inayotumiwa kwa podi imedhamiriwa ndani ya maandishi ya maelezo:
Wakati mtumiaji ana ufikiaji wa SCCs nyingi, mfumo utatumia ile inayolingana na thamani za muktadha wa usalama. Vinginevyo, itasababisha kosa la kupigwa marufuku.