我们目前正在EKS中构建 Multi-Tenancy 集群。对于持久性存储,我们使用Amazon EFS CSI驱动程序https://docs.aws.amazon.com/eks/latest/userguide/efs-csi.html
我们正在尝试为每个PV使用具有不同文件夹的单个EFS。
我们面临的问题是安全组需要在节点组级别上应用,因此,现在任何具有足够高特权的Pod都可以挂载EFS驱动器并删除其中的任何内容。
有什么办法可以解决此安全问题?
谢谢

最佳答案

AFAIK,唯一的方法是使用UNIX style permissions in your EFS drive。基本上,您可以基于UNIX UID / GID提前为子目录创建这些许可权,然后可以使用SecurityContext强制pod启动某个UID / GID(和fsGroup)。
另外,您还可以使用MutatingAdminssionWebhooks,以便您的Pod始终根据运行它们的 namespace 自动获得一个securityContext。
✌️

关于amazon-web-services - 在 Multi-Tenancy Kubernetes集群中将EFS文件系统与EKS结合使用时的安全性问题,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/63022548/

10-15 21:53