我们目前正在EKS中构建一个多租户集群。对于我们的持久存储,我们使用Amazon EFS CSI驱动程序https://docs.aws.amazon.com/eks/latest/userguide/efs-csi.html.
我们正在尝试使用一个EFS,每个PV有一个不同的文件夹。
我们面临的问题是,安全组需要应用于节点组级别,因此现在任何具有足够高权限的pod都可以装载EFS驱动器并删除其上的任何内容。
有什么办法解决这个安全问题吗?
AFAIK,唯一的方法是在EFS驱动器中使用UNIX风格的权限。基本上,您可以基于UNIX UID/GID提前为子目录创建这些权限,然后您可以使用SecurityContext强制您的pod启动某个UID/CID(和fsGroup(。
此外,您还可以使用MutatingAdminsionWebhook,这样您的pod就可以根据它们运行的命名空间自动添加一个安全上下文。