Телеграмм чат группы devops

Size: a a a

DevOps — русскоговорящее сообщество

10359 membersпожаловаться на группу

2021 April 21

Sergey Trapeznikov in DevOps — русскоговорящее сообщество

Semyon Gerasimov in DevOps — русскоговорящее сообщество

Скажите, пожалуйста, что именно вы имеете ввиду под "привилегии в манифесте". Насколько я читаю доку (https://kubernetes.io/docs/tasks/configure-pod-container/security-context/#set-the-security-context-for-a-pod) в манифесте можно указать securityContext в котором перечислить:
- Linux Capabilities
- SELinux labels
- Seccomp Profile
- флаг allowPrivilegeEscalation

Что из этого вы имеете ввиду под "привилегиями"? Или что-то совсем другое?

Kubernetes

Configure a Security Context for a Pod or Container

A security context defines privilege and access control settings for a Pod or Container. Security context settings include, but are not limited to:
Discretionary Access Control: Permission to access an object, like a file, is based on user ID (UID) and group ID (GID).
Security Enhanced Linux (SELinux): Objects are assigned security labels.
Running as privileged or unprivileged.
Linux Capabilities: Give a process some privileges, but not all the privileges of the root user.

источник

08:07пожаловаться #2

Lol ava in DevOps — русскоговорящее сообщество

Я не разбираюсь в этом, но используя перевод я бы выбрал privilegeescalation

источник

08:08пожаловаться #3

Vasiliy Angapov in DevOps — русскоговорящее сообщество

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo-4
spec:
containers:
- name: sec-ctx-4
securityContext:
capabilities:
add: ["NET_BIND_SERVICE"]

источник

08:24пожаловаться #4

Semyon Gerasimov in DevOps — русскоговорящее сообщество

Спасибо за ответ. Работает так, но не работает, если указывать еще и RunAsUser. Надо не из под рута запускать контейнер.

источник

08:26пожаловаться #5

Vasiliy Angapov in DevOps — русскоговорящее сообщество

Попробуй вот отсюда рецепт: https://jessicadeen.com/how-to-solve-the-listen-tcp-80-bind-permission-denied-error-in-docker/

The Deen of DevOps

How to solve the "listen tcp :80: bind: permission denied" error in Docker

We've all been there. You do everything correct - you set your container to run
as non root, you configure your application port as a dynamic port that can be
changed at runtime, and then, when runtime comes, you run something like the
following command: docker run -e PORT=80 -p 80:80 --name my-app
registry/image:tag and you see this listen tcp :80: bind: permission denied.

The problem is simple, and so is the solution.

First, the problem is you're trying to bind to a privileged port - port 80