Zum Hauptinhalt springen

Kubernetes Pods in Managed Namespace

Die gemanagten Mayope Namespaces garantieren vollen Funktionsumfang.

Um allerdings einen sicheren ununterbrochenen Service bereitzustellen wird der Baseline PodSecurityStandard angewandt:

Volume Restriktionen#

Mounting hostPath volumes ist nicht erlaubt.

Privileged containers#

Privileged containers mittels securityContext.privileged ist nicht erlaubt

Capabilities#

Hinzufügen on capabilities über das default set mittels securityContext.capabilities.add ist nicht erlaubt.

Port Restriktionen#

Benutzen von hostPort ist nicht erlaubt

SELinux#

Setzen des SELinux Typs is eingeschränkt und das Setzen eines eigenen SELinux Benutzers oder einer Rolle is verboten. Eingeschränkte Felder: securityContext.seLinuxOptions.type, securityContext.seLinuxOptions.role, securityContext.seLinuxOptions.user

/proc Mount Type#

Parameter securityContext.procMount ist nicht erlaubt.

Sysctl#

Ändern des Wertes securityContext.sysctls ist nicht erlaubt.

Privileg Eskalation#

Privileg Eskalation durch allowPrivilegeEscalation ist nicht erlaubt.

Non-root Gruppen#

Benutzen der Parameter runAsGroup,supplementalGroups und fsGroup wird im SecurityContext nicht unterstützt.