Security Kubernetes吊舱安全策略uid/gid范围

我需要允许0-1000和6000-7000范围用于应用程序部署，并禁止所有其他范围

---

此配置是否会阻止某人执行到pod/container中，并可以切换到其他uid/gid？

Linux通常不允许非root用户作为其他uid/gid执行，而不允许使用类似于

sudo的东西。只要您还限制功能、
特权
、特权升级和不安全的装载类型，您就可以相当肯定您的POD将只运行您指定的UID/GID进程。
允许6000-7000进行部署是什么意思？您可以通过云提供程序中的IAM控制部署，或者在使用on-prem-kubernetes时通过设置RBAC控制部署。Kubernetes安全上下文适用于卷装载，如文档>中所述。链接已断开，我在prem上使用，安全上下文适用，但如何有选择地实施它们使用此链接。您通过API与kubernetes交互，这意味着您需要为权限设置RBAC。如果要进一步限制对文件系统的访问，可以使用kubernetes限制。假设我们已经指定kubernetes是一个API，那么就不需要强制执行uid/gid，因为服务器本身不会与服务器交互。是的，但例如，ningx或apache以uid 0运行，您执行pod，然后切换到其他uid？或者在容器中使用其他uid创建另一个用户，然后切换到该用户。另一种方法是确保容器在默认情况下不使用root。而是声明其他用户。在dockerfile中执行此操作。如果应用了强制UID范围的PSP，则将无法以UID 0的形式运行Nginx或Apache。您也不能将任何用户创建为非root用户。在Dockerfile中定义用户的问题在于，它不会阻止您在运行时（通过Pod规范）将用户更改为root用户，除非您有PSP。