k8s securityContext.runAsUser vs инструкция пользователя USER Dockerfile

Question

В чем разница между выбором пользователя для запуска, как в разделе securityContext.runAsUser моего развертывания k8s, и выбором пользователя, использующего USER myuser в Dockerfile?

Меня особенно интересует, есть ли проблемы безопасности, связанные с USER myuser, которых нет в securityContext

Answer 1

MustRunAsNonRoot

Пользователи и группы

Требуется, чтобы модуль был представлен с non-zero runAsUser или USER directive defined (с использованием числового UID) на изображении.Модули, которые не указали ни параметры runAsNonRoot, ни параметры runAsUser, будут видоизменены для установки runAsNonRoot=true, поэтому в контейнере требуется определенный non-zero numeric USER directive.По умолчанию не предусмотрено.Настоятельно рекомендуется установить значение allowPrivilegeEscalation = false в этой стратегии.

Поэтому USER directive важно, если вы хотите, чтобы контейнер запускался без полномочий root.