我在群集上配置了Pod安全策略,这会阻止Pod以root身份运行。

但是,如果任何部署使用分till服务帐户,则它们可以以root身份启动pod,基本上,它们是完全管理员,没有Pod安全策略限制。

有没有一种方法可以限制Pod可以使用哪些服务帐户?

最佳答案

是的,有可能。

您应该绑定(bind)一个Role / ClusterRole。

例:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
  - kind: User
    name: jane
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

很高兴阅读:

https://kubernetes.io/docs/reference/access-authn-authz/rbac/

https://docs.giantswarm.io/guides/securing-with-rbac-and-psp/

关于kubernetes - k8s-阻止Pod使用某些服务帐户,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/53751387/

10-11 06:30
查看更多