Под безопасности контекста и монтирования NFS

Question

Согласно этому сообщению:

https://netapp.io/2018/06/15/highly-secure-kubernetes-persistent-volumes/

Нельзя использовать / монтировать общий ресурс NFS в модуле, если модуль не имеет контекста безопасности как привилегированного.

Я использую модуль с подключенной внешней NFS, но не указал никакой контекст безопасности, кроме uid / gid.Хорошо работает RW.

Как я могу проверить, является ли мой модуль нормальным или привилегированным.

Answer 1

Вы можете проверить это, используя kubectl get pods yourpod -o json в .spec.containers.securityContext или в метаданных

В качестве примера я создал 2 пакета nginx: nginx (с привилегированным: true)

"metadata": {
    "annotations": {
        "cni.projectcalico.org/podIP": "10.48.2.3/32",
        "kubectl.kubernetes.io/last-applied-configuration": "{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"annotations\":{},\"labels\":{\"app\":\"nginx\"},\"name\":\"nginx\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"image\":\"nginx\",\"name\":\"nginx\",\"ports\":[{\"containerPort\":80}],\"securityContext\":{\"privileged\":true}}]}}\n",


"securityContext": {
   "privileged": true

и

Nginx-непривилегированному

"metadata": {
    "annotations": {
        "cni.projectcalico.org/podIP": "10.48.2.4/32",
        "kubectl.kubernetes.io/last-applied-configuration": "{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"annotations\":{},\"labels\":{\"app\":\"nginx\"},\"name\":\"nginx-nonprivileged\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"image\":\"nginx\",\"name\":\"nginx\",\"ports\":[{\"containerPort\":80}]}]}}\n",