172 похожих чатов

Коллеги есть вопрос. В кластере включен psp, по-умолчанию для

system:authenticated установлена политика, запрещающая запуск от рута. При запуске деплоймента она применяется, под, который работает от рута не поднимается. Но если запускаешь kubectl run php-apache --image=gcr.io/google\_containers/hpa-example --requests=cpu=500m,memory=500M --expose --port=80, к нему применяется политика с allowPrivilegeEscalation: true и он запускается. Почему? куб 1.18

10 ответов

19 просмотров

Запускаешь под рутом?

Desdichado- Автор вопроса
Andrey RRR
Запускаешь под рутом?

Что именно запускаю? из-под кластерного админского sa

Ну ты под создаёшь с админкой учётки. Псп игнорится для админа

Desdichado- Автор вопроса
Lucky SB
Ну ты под создаёшь с админкой учётки. Псп игноритс...

нет. Не игнорится. Если создавать деплойментом, применяется правильная же. А тут цепляется другая, непонятно, по какому принципу

Desdichado
нет. Не игнорится. Если создавать деплойментом, пр...

Пфф. Когда ты деплоймент в кластер кладешь, то реплика сет и поды у тебя уже с правами дефолтного сервисаккаунта создаются. А не с админа

Desdichado- Автор вопроса
Lucky SB
Пфф. Когда ты деплоймент в кластер кладешь, то реп...

Об этом где-то можно почитать? и вручную запущенный под таки привязан к psp. но к такой, у которой есть привилегированные права

Desdichado- Автор вопроса
Lucky SB
Думаю, что в документации

Действительно) Спасибо, буду искать

Desdichado- Автор вопроса
Lucky SB
Ну ты под создаёшь с админкой учётки. Псп игноритс...

Таки не игнорится, но применяется так: "Your cluster admin user is authorized to use both PSP policies. When multiple PSP policies are allowed, ones that do not require changing the pod being created are preferred. The pod spec you are applying does not run as non-root. That means that using the PSP that does not allow escalation would require mutating the pod spec during creation. That is why the privileged PSP is being selected for your pod. For the restricted PSP to be selected, create the pod with a user that does not have access to the privileged PSP"

Похожие вопросы

Обсуждают сегодня

Всем привет! Имеется функция: function IsValidChar(ch: UTF8Char): Boolean; var i: Integer; ValidChars: AnsiString; begin ValidChars := 'abcdefghijklmnopqrstuvwxyzABCDE...
Евгений
28
лучше скажите, причём тут паскаль?
Alexey Kulakov
36
День добрый, подскажите пожалуйста, есть ли какой-то способ сказать ребару не компилировать определённое приложение? Всю доку их перечиатл ничего подобного не нашёл
Кирилл
14
Народ! Впервые клиенту пришло письмо от РКН, у вас, дескать, есть яндекс метрика, а нигде не написано, что вы ее юзаете. Никто не сталкивался?
Sasha Beep
10
Добрый вечер. Хочу чтобы у меня в классе поле было функцией, которая возвращает строку. Делаю так: interface ... TGetOutPath = function : String of object; ... protec...
Kirill Filippenok
12
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
В clientsettings есть поле client_rates. В поле pagebuilder. Как получить то его?)
Andrey K
8
Здравствуйте, хочу сделать HelloWorld в консоли Дельфи, но функция API ничего не выводит, что я делаю не так? program Hello; {$APPTYPE CONSOLE} uses System.SysUtils, WinAPI.Wi...
Sergey Vinogradov
20
Вопрос на перед, на следующую пятницу. Сколько строк кода можно вешать на одного программиста, понятно что если проект хорошо написан то можно и миллион. Но есть же где то пре...
AlekseyK Kluchnikov
31
Немного оффтопа: а кто на чем сидит для осдева в плане ide/редактора? Последнее время сидел на vscode, но я его прям не могу нормально воспринимать, перешел на сlion, но меня...
Evg Resh
29
Карта сайта