Л
А есть способ управлять контрольными группами из спек кубера? Например, добавить allow true на любой тип devices.
Size: a a a
2021 April 09
Л
Что-то ничего не могу найти на эту тему.
GG
Поясни конкретнее ?
Л
В коде нашел такой момент, что если добавить hostpath, то параметры cgroups заимствуются из хост системы.
GG
Ты можешь политики для OPA написать - но они будут регулировать можно ли создавать под с нужным доступом или нет
GG
Эм, нет в этом логики
Л
Да мне так и не надо.
Л
А что такое нужный доступ? Если речь о caps или seccomp, то это не сработает, cgroups не дадут их применить.
Л
В плане, если у меня в кгруппах запрет на монтирование устройств, остальное не поможет, надо сам запрет снимать.
GG
Хм. А зачем ты хочешь цегруппы на хосте ограничивать?
GG
Тебе недостаточно seccomp/apparmor/selinux?
Л
Да это не я, это рантайм сингулярити.
GG
Ой блин 🙀
GG
В тредике живые юзеры этого?
Л
Думаю, нет.
Л
Кстати, твой совет про слак тоже не прокатил. Они его закрыли.)
Л
А на сайте есть.)
Л
Я нашел способ менять параметры при запуске контейнеров. Но в кубере это не работает. Запрещает, сцуко, и все тут.
Л
Причем в коде черным по белому allow true.