k8s - запретить модулям использовать некоторые служебные учетные записи

Question

Я настроил Политики безопасности Pod в моем кластере, что запрещает запускать Pod как root.

Однако, если любое развертывание использует учетную запись службы Tiller, они могут запускать pod как root, в основном они являются полными администраторами., нет ограничений политик безопасности Pod.

Есть ли способ ограничить использование модулей учетных записей служб?

Answer 1

Да, это возможно.

Вы должны связать Role / ClusterRole.

Пример:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
  - kind: User
    name: jane
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

Приятно читать:

https://kubernetes.io/docs/reference/access-authn-authz/rbac/

https://docs.giantswarm.io/guides/securing-with-rbac-and-psp/