Я пытаюсь понять последствия безопасности запуска контейнеров с --cap-add=NET_ADMIN.Контейнеры будут работать в кластере k8s, и они будут выполнять предоставленный пользователем код (который мы не можем контролировать и можем быть вредоносным).
Насколько я понимаю, если я не добавлю флаг --network host, контейнеры будутбыть в состоянии изменить только свой собственный сетевой стек.Следовательно, они могут нарушить собственную сеть, но никак не могут повлиять на хост или другие контейнеры.
Это правильно?Есть ли какие-либо соображения при принятии решения, если это безопасно сделать?