DS
ты как будто ни разу ps aux не запускал на нодах с докером
Size: a a a
2020 March 06
DS
Alexander
Если у контейнера отдельный userns, то хостовый uid процесса не будет совпадать с внутриконтейнерным (который ты указал). Если userns не используется, то пространство идентификаторов будет общее. Но тут главное, чтобы uid не был нулевым. А совпадает ли он с uid-ом юзера вне контейнера — дело уже десятое, если ты другие namespace-ы не отключаешь.
с userns я бы в кубе особо не развлекался, тем более есть psp
A
с userns я бы в кубе особо не развлекался, тем более есть psp
Да он и без куба имеет проблемы. Хотя, если volume-ы не нужны, то userns норм.
SA
DS
Alexander
Да он и без куба имеет проблемы. Хотя, если volume-ы не нужны, то userns норм.
и сети с iptables же тоже вроде. Если конечно спец прав не дать
A
и сети с iptables же тоже вроде. Если конечно спец прав не дать
А что там с iptables не дружит с userns?
DS
Alexander
А что там с iptables не дружит с userns?
давно его щупал. Но по логике дружить не должно. Докер демон же тоже там от юзера запускается, а значит править iptables никак не получится. Но мб это не так, уже не помню
DS
хотя вроде как-то это работало...
A
давно его щупал. Но по логике дружить не должно. Докер демон же тоже там от юзера запускается, а значит править iptables никак не получится. Но мб это не так, уже не помню
Ты про dind что ли?
DS
Alexander
Ты про dind что ли?
нет, про userns: https://docs.docker.com/engine/security/userns-remap/.
Да, ступил демон там под рутом. Там с волумами беда, --pid=host, --network=host, --priveleged нельзя
Да, ступил демон там под рутом. Там с волумами беда, --pid=host, --network=host, --priveleged нельзя
V
Alexander
Что там вне контейнера с этим uid-ом — по барабану
так файлы в nfs под этим пользаком создаютс
A
так файлы в nfs под этим пользаком создаютс
И? У тебя в контейнере отдельный mountns.
DS
так файлы в nfs под этим пользаком создаютс
nfs anonymous uid
A
При чем тут, вообще, nfs? Или вы про uid 65534, который присваивается, когда uid выразить невозможно? Если да, то без userns вы его вряд ли увидите.
A
С userns да, его в качестве владельца будут иметь файлы из volume-а внутри контейнера с userns (т.к. хостовые uid-ы невозможно выразть в контейнерном неймспейсе)
V
Alexander
При чем тут, вообще, nfs? Или вы про uid 65534, который присваивается, когда uid выразить невозможно? Если да, то без userns вы его вряд ли увидите.
файлы на диске создаются под uid под которым запущен под, диск nfs примонтированный к нодам, как hostpath подключен, поэтому видимо
AA
а на namespaces'ы квоты вешать нормальная практика вообще?
S
а на namespaces'ы квоты вешать нормальная практика вообще?
Да
V
Привет! Посоветуйте, плз, где почитать про dev-sec-ops на k8s(GKE). Интересует процесс разработки с учетом проверки безопасности и развертывания. Т.е. проверка безопасности новых имаджей, мониторинг существующих и интеграция этого всего в CI/CD
DO
ребята а подскажите как в кубспрее рабоатет localdns ?
два мастера работают отлично добавил worker там поднялся localdns но ничего не резолвится
два мастера работают отлично добавил worker там поднялся localdns но ничего не резолвится