Почему в примере k8s ограничивается PodSecurityPolicy, а не RunAsGroup?

Question

В документации K8s есть пример для PodSecurityPolicy с ограничениями:

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example -policies

Он ограничивает 'дополнительные группы' и 'fsGroup', но не 'runAsGroup '

  supplementalGroups:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

Следовательно, он позволяет контейнеру в securityContext указать группу root с идентификатором 0. Разве это не проблема? Разве следующий

  runAsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

не следует добавить в ограничительную политику PodSecruityPolicy?

Answer 1

Разве следующее ... не должно быть добавлено в ограничительную политику PodSecruityPolicy?

Это вариант для ограничения вашей основной группы , если вы этого не сделаете имейте это, тогда ваша основная группа не будет ограничена. Таким образом, поды могут запускать контейнеры, поскольку root Group: 0.

supplementalGroups означает любую дополнительную группу, добавленную к пользователю, помимо основной группы (вторичные группы). В системах * nix ?️ вы можете запустить процесс как принадлежащий к первичной группе и к набору ограниченных вторичных групп .

✌️