Kubernetes securityContext Anahtar Kelimesi

capabilities Alanı

Örnek

Pod içindeki main isimli container'a AUDIT_WRITE hakkı vermek için şöyle yaparız

apiVersion: apps/v1
kind: Deployment
...
spec:
...
    spec:
      containers:
        - name: main
          securityContext:
            capabilities:
              add:
                - AUDIT_WRITE

Açıklaması şöyle. Yani normalde AUDIT_WRITE çok gerekli bir hak değil.

... in normal operation, even with root inside the container, Docker restricts the container’s Linux capabilities. This restriction includes things like CAP_AUDIT_WRITE, for example, which allows overwriting the Kernel’s audit logs — power that is highly unlikely needed by your containerized workloads.

privileged Alanı

privileged podları yasaklamak için kind: PodSecurityPolicy yazısına bakınız

Örnek - Normal Olmayan

Şöyle yaparız. Böylece işletim sisteminin her türlü yeteneğine erişebiliriz

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true

Örnek - Normal Olan

Şöyle yaparız.

apiVersion: v1
kind: Pod
metadata:
  labels:
    run: pod-1
  name: pod-1
spec:
  containers:
  - image: nginx
    name: pod-1
    securityContext:
      privileged: false
      runAsNonRoot: true   # advised by kubesec