概要
- コンテナに対し、指定するセキュリティー設定は個別コンテナだけ適応する
- セキュリティー設定はPodもコンテナにも設定できる
例)
- とあるコンテナはRoot権限を持ってないように設定してたい
- とあるコンテナからファイルを読む場合はReadonlyとして設定してほしい
種類
- runAsUser, runAsGroup: コンテナのプロセスで実行できるUID GIDを指定
- runAsNonRoot: コンテナがRootで実行できないように設定
- privileged mode: コンテナのNodeのRoot権限を取得
- Linux Capabilities: コンテナをPrivilegesモードとして実行し、ノードのカナルに対するすべてのアクセス権限を付与
- readOnlyRootFilesystem: プロセスがコンテナのファイルシステムで書き込むことを禁止
- supplementalGroups: 追加グループの権限を利用