Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
Tags
- Social Network in Game
- 공격그래프
- NMAP
- Chrome 작업관리자
- davtest
- 넷크래프트
- OpenID Connect
- 대학원
- SecurityMetric
- Kublet
- 액티브스캐닝
- Container
- AttackGraph
- 무선채널
- ip forwarding
- dnsenum
- 강의
- OIDC
- 보안
- Mimikatz
- 화이트해커
- cgroups
- 계정 탈취
- airdecap-ng
- recon-ng
- Mac
- 패시브스캐닝
- decap
- 프로젝트
- Shift + ESC
Archives
- Today
- Total
네른
[Kubernetes] Security Context 본문
종종, Pod를 생성하고 나서 내부의 앱이 권한문제로 인해 정상적으로 동작하지 않을 때가 있다.
그럴 때 주로 사용한 방법이 Pod의 SecurityContext를 수정하는 것.
SecurityContext란 Pod/Container의 권한을 수정하는 데 사용되는 기능으로, 프로세스의 사용자/그룹을 수정하거나 보안정책, 권한 등을 설정하게 된다.
대표적인 몇가지만 간단히 나열하자면,
- hostPID/IPC : 해당 리소스가 node의 PID와 IPC를 사용할 수 있게되어 직접 통신이 가능해진다
- hostNetwork : 해당 리소스가 node의 network interface에 접근할 수 있게된다
- runAsUser: 해당 리소스의 사용자 ID(UID)를 지정한다. 디폴트 값이 0 이기에, 특정 UID를 할당해서 권한을 제한할 수 있다
- fsGroup : 해당 리소스(파드)의 볼륨에 대한 그룹을 할당.
- seLinux : 해당 리소스에 selinux 지정
- privileged : 해당 리소스(컨테이너)가 privileged로 생성되도록 지정. privileged가 설정되면, 노드의 모든 리소스에 접근이 가능해진다!
- seccomp : 해당 리소스 내의 프로세스가 사용할 수 있는 시스템콜의 종류를 제한
spec:
containers:
- name: test
securityContext:
runAsUser: 2000
runAsGroup: 2000이런식으로 지정해서 사용할 수 있다.
권한 관련해서 종종 사용했었다.
'DevOps' 카테고리의 다른 글
| [Kubernetes] Resource Request / Limit (0) | 2022.05.16 |
|---|---|
| [Kubernetes] Dashboard 설치 (0) | 2022.05.13 |
| [Kubernetes] Service Account & Role (0) | 2022.05.13 |
| [logrotate] 로그 로테이션 (0) | 2022.05.12 |
| [ElasticSearch] 번외 - ILM 적용 (0) | 2022.05.11 |
'DevOps' Related Articles
more
Comments