Kubernetes 为什么k8s示例受限PodSecurityPolicy不限制RunAsGroup?
K8s文档中有一个受限PodSecurityPolicy的示例: 它限制“补充组”和“fsGroup”,但不限制“runAsGroup”Kubernetes 为什么k8s示例受限PodSecurityPolicy不限制RunAsGroup?,kubernetes,podsecuritypolicy,Kubernetes,Podsecuritypolicy,K8s文档中有一个受限PodSecurityPolicy的示例: 它限制“补充组”和“fsGroup”,但不限制“runAsGroup” supplementalGroups: rule: 'MustRunAs' ranges: # Forbid adding the root group. - min: 1 max: 65535 fsGroup: rule: 'MustRunAs' ranges: #
supplementalGroups:
rule: 'MustRunAs'
ranges:
# Forbid adding the root group.
- min: 1
max: 65535
fsGroup:
rule: 'MustRunAs'
ranges:
# Forbid adding the root group.
- min: 1
max: 65535
因此,它允许securityContext中的容器指定id为0的根组。这不是个问题吗?下面的句子不应该吗
runAsGroup:
rule: 'MustRunAs'
ranges:
# Forbid adding the root group.
- min: 1
max: 65535
被添加到限制性的podsecruitipolicy中
难道不应该在限制性的PodSecruityPolicy中添加以下内容吗
这是一个限制您的组的选项,如果您没有,那么您的主要组将不会受到限制。所以基本上,pod仍然可以作为root组0运行容器
supplementalGroups
是指除了主要组(次要组)之外添加到用户的任何其他组。In*nix系统