Kubernetes SecurityContext(s)
PodSecurityContext
Pod์ ๋ณด์ ์ปจํ ์คํธ๋ฅผ ์ง์ ํ ๋ ์ฌ๋ฌ ์์ฑ์ ์ฌ์ฉํ ์ ์์ต๋๋ค. ๋ฐฉ์ด์ ๋ณด์ ๊ด์ ์์ ๊ณ ๋ คํด์ผ ํ ์ฌํญ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค:
runASNonRoot๋ฅผ True๋ก ์ค์
runAsUser๋ฅผ ๊ตฌ์ฑ
๊ฐ๋ฅํ๋ค๋ฉด seLinuxOptions ๋ฐ seccompProfile์ ์ง์ ํ์ฌ ๊ถํ์ ์ ํํ๋ ๊ฒ์ ๊ณ ๋ ค
runAsGroup ๋ฐ supplementaryGroups๋ฅผ ํตํด privilege group ์ ๊ทผ์ ์ ๊ณตํ์ง ์์
SecurityContext
์ด ์ปจํ ์คํธ๋ ์ปจํ ์ด๋ ์ ์ ๋ด๋ถ์ ์ค์ ๋ฉ๋๋ค. ๋ฐฉ์ด์ ๋ณด์ ๊ด์ ์์ ๊ณ ๋ คํด์ผ ํ ์ฌํญ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค:
allowPrivilegeEscalation์ False๋ก ์ค์
๋ฏผ๊ฐํ capabilities๋ฅผ ์ถ๊ฐํ์ง ์์ (ํ์ ์๋ ๊ฒ๋ค์ ์ ๊ฑฐ)
privileged๋ฅผ False๋ก ์ค์
๊ฐ๋ฅํ๋ค๋ฉด readOnlyFilesystem์ True๋ก ์ค์
runAsNonRoot๋ฅผ True๋ก ์ค์ ํ๊ณ runAsUser๋ฅผ ์ค์
๊ฐ๋ฅํ๋ค๋ฉด seLinuxOptions ๋ฐ seccompProfile์ ์ง์ ํ์ฌ ๊ถํ์ ์ ํํ๋ ๊ฒ์ ๊ณ ๋ ค
runAsGroup๋ฅผ ํตํด privilege group ์ ๊ทผ์ ์ ๊ณตํ์ง ์์.
SecurityContext์ PodSecurityContext ๋ชจ๋์ ์ค์ ๋ ์์ฑ์ SecurityContext์ ์ง์ ๋ ๊ฐ์ด ์ฐ์ ํฉ๋๋ค.
References
Last updated