我在群集上配置了Pod安全策略,这会阻止Pod以root身份运行。
但是,如果任何部署使用分till服务帐户,则它们可以以root身份启动pod,基本上,它们是完全管理员,没有Pod安全策略限制。
有没有一种方法可以限制Pod可以使用哪些服务帐户?
最佳答案
是的,有可能。
您应该绑定(bind)一个Role / ClusterRole。
例:
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: read-pods
namespace: default
subjects:
- kind: User
name: jane
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
很高兴阅读:
https://kubernetes.io/docs/reference/access-authn-authz/rbac/
https://docs.giantswarm.io/guides/securing-with-rbac-and-psp/
关于kubernetes - k8s-阻止Pod使用某些服务帐户,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/53751387/