鉴于以下AKS顾问的建议"应避免以root用户运行容器">采用以下补救步骤:
- 对于这些pod,在容器的规范的runAsUser部分添加规则:'MustRunAsNonRoot'。
我应该在这里注意到MustRunAsNonRoot是PodSecurityPolicy的一部分,它不应该再与AKS一起使用,正如如何在AKS
中的K8S集群中强制执行MustRunAsNonRoot策略中所述我将runAsNonRoot: true添加到pod的securityContext:
apiVersion: apps/v1
kind: Deployment
metadata:
annotations:
...
creationTimestamp: "2021-09-28T14:02:34Z"
generation: 13
labels:
app.kubernetes.io/managed-by: Helm
name: my-service
namespace: my-namespace
resourceVersion: "..."
uid: ...
spec:
replicas: 1
...
template:
metadata:
...
spec:
securityContext:
runAsNonRoot: true
…但是这个建议仍然列出了资源。我在这里漏掉了什么,我应该改变什么来实现这个建议?
Bridgecrew定义了一些策略,当涉及到k8s在生产环境中的部署时,这些策略会强制执行最佳实践。您可以使用这些策略中提到的配置来验证您的部署配置。
BC_K8S_22和BC_K8S_37是一些与容器、root用户及其权限相关的策略。
以下是您可以包含的一些配置,以遵循部署最佳实践。您应该遍历他们所有的策略,并使用最适合您的用例的策略。
securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
runAsUser: 10500
runAsGroup: 10500