172 похожих чатов

Кто-Нибудь пользуется pod security policy в кубе? Openshift даёт магию в

виде замены юзера на рандомного и нормально хаваются образы, где прописан юзер именной, например, USER kong.
В многих образах прописан такой именной юзер. Как это использовать для куба? Переписывать на номер?

15 ответов

16 просмотров

Это колхоз

Kirill-Garbar Автор вопроса
NM
Это колхоз

Точнее? Что колхоз?

Kirill Garbar
Точнее? Что колхоз?

Весь опенштфт колхоз по мне

Kirill-Garbar Автор вопроса
NM
Весь опенштфт колхоз по мне

Ааа. Ну мне тоже многое не нравится, поэтому едем в EKS. Но тем не менее вопрос остаётся открытым. Либо везде в образах переписывать юзера на номер. Либо делать что-то другое. Прописывать в подах securityContext. Admission Controller из опеншифта как-то нету в простом варианте. Как вообще люди делают?

И в чем проблема в юзере

Kirill-Garbar Автор вопроса
George Gaál
И в чем проблема в юзере

Если в образе указан USER kong, то куб не может его определить как nonroot. Именные юзеры используются часто в opensource образах. Меня интересует как так? Неужели все переписывают юзеров? Как поступают другие?

Я использую, там не рандомный, а минимальный id из диапозона. Например: runAsUser: rule: MustRunAs ranges: - max: 4500 min: 4401 Если в спеке пода не указан будет uid юзера, то контейнер запустится от 4401 uid. А если в спеке пода uid указан, то ему разрешены только с 4401 по 4500

Kirill-Garbar Автор вопроса
Dmitry Sergeev 🇺🇦
Я использую, там не рандомный, а минимальный id из...

Т.е. ты прописываешь securityContext для приложений и норм? Спасибо.

Kirill Garbar
Ааа. Ну мне тоже многое не нравится, поэтому едем ...

а че ты просто доку по psp не прочитаешь? В openshift тот же самый psp используется

Kirill-Garbar Автор вопроса
Dmitry Sergeev 🇺🇦
а че ты просто доку по psp не прочитаешь? В opensh...

В Опеншифт используется admission controller, который сам переписывает user id.

Kirill Garbar
Т.е. ты прописываешь securityContext для приложени...

нет, я там ничего обычно не прописываю. Я на уровне psp это делаю. И применяю для всего namespace например

Kirill Garbar
В Опеншифт используется admission controller, кото...

а зачем? Когда psp это делает из коробки?

Kirill Garbar
Если в образе указан USER kong, то куб не может ег...

Если в образе указан USER kong. То ты в кубе через psp можешь принудительно задать любой другой uid, и для этого даже не надо securityContext добавлять в спеку пода, но можно и через нее сделать тоже

Kirill-Garbar Автор вопроса
Dmitry Sergeev 🇺🇦
Если в образе указан USER kong. То ты в кубе через...

Спасибо. Видимо я в глаза долбился, если это так. Пошёл читать внимательнее

Kirill Garbar
Спасибо. Видимо я в глаза долбился, если это так. ...

ну я так делаю, я тебе пример выше спеки psp дал.

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта