个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
33
4
我无法启动需要特权安全上下文的 pod。Pod 安全策略:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: pod-security-policy
spec:
privileged: true
allowPrivilegeEscalation: true
readOnlyRootFilesystem: false
allowedCapabilities:
- '*'
allowedProcMountTypes:
- '*'
allowedUnsafeSysctls:
- '*'
volumes:
- '*'
hostPorts:
- min: 0
max: 65535
hostIPC: true
hostPID: true
hostNetwork: true
runAsUser:
rule: 'RunAsAny'
seLinux:
rule: 'RunAsAny'
supplementalGroups:
rule: 'RunAsAny'
fsGroup:
rule: 'RunAsAny'
集群角色:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: privileged
rules:
- apiGroups:
- '*'
resourceNames:
- pod-security-policy
resources:
- '*'
verbs:
- '*'
集群角色绑定(bind):
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: privileged-role-binding
roleRef:
kind: ClusterRole
name: privileged
apiGroup: rbac.authorization.k8s.io
subjects:
# Authorize specific service accounts:
- kind: ServiceAccount
name: default
namespace: kube-system
- kind: ServiceAccount
name: default
namespace: default
- kind: Group
# apiGroup: rbac.authorization.k8s.io
name: system:authenticated
# Authorize specific users (not recommended):
- kind: User
apiGroup: rbac.authorization.k8s.io
name: admin
$ k auth can-i use psp/pod-security-policy
Warning: resource 'podsecuritypolicies' is not namespace scoped in group 'extensions'
yes
$ k apply -f daemonset.yml
The DaemonSet "daemonset" is invalid: spec.template.spec.containers[0].securityContext.privileged: Forbidden: disallowed by cluster policy
不确定是否需要,但我已将 PodSecurityContext 添加到 args/kube-apiserver --enable-admission-plugins
我们将不胜感激任何建议和见解。 WTF 是这样的:“看起来您的帖子主要是代码;请添加更多详细信息。” !?!
最佳答案
刚刚检查了您的 Pod 安全性 Policy我当前环境的配置:
kubeadm version: &version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1"
Client Version: version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1"
Server Version: version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1"
我假设您已经包含了 Privileged securityContext在当前的 DaemonSet list 文件中。
securityContext:
privileged: true
为了允许 Kubernetes API 生成 Privileged您可能必须设置的容器 kube-apiserver标记 --allow-privileged 为 true 值。
--allow-privileged=true
因此,一旦我不允许使用 false 选项运行特权容器,我在我的 k8s 集群中就会面临同样的问题。
关于kubernetes - securityContext.privileged : Forbidden: disallowed by cluster policy,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57156922/
33
4
0
我见过一些网站在他们的 robots.txt 文件中使用“禁止:/sitepanel/或禁止:/cgi-bin/”。我知道我们使用“禁止:”来阻止搜索引擎爬虫抓取特定的网页或目录,但我不明白为什么我们
我正在使用 Python 请求: import requests image_url = my_url headers = {'User-agent': 'Mozilla/5.0 (Windows N
是否有 es lint 规则或 typescript 配置来禁止以下内容? let s: string; s = 'a'; s?.toLocaleLowerCase(); 在我看来, s 不可为空,因
我想禁止我的文本输入和文本区域中出现所有表情符号。 目前,每次输入时都会检查整个文本,如果有表情符号,则会显示不允许使用的通知。 我怎样才能实现,只检查最后一个字符(而不是整个文本,我认为这在性能方面
我收到此错误,但似乎无法找到如何让它工作。我的代码,只是遵循一些 Vaadin10+ 练习: @PropertyId("string") final TextField stringField = n
没有触发器的 PostgreSql 可能不允许更新列,只允许插入。 最佳答案 完全未经测试,但由于 Postgres SQL 支持列级权限,因此看起来可能是这样。 http://www.postgre
我已经在 Ubuntu 14.04 上安装了最新版本的 GitLab,除了推送到远程外,它工作正常。 运行 ssh git@example.com "git-receive-pack repo.git
这个问题已经有答案了: Regular expression for excluding special characters [closed] (11 个回答) 已关闭 9 年前。 我刚刚接触 Jq
我有两个事件:一个是 onclick,当我单击菜单时它会滚动到某个 div,另一个是 onscroll 中的“突出显示”菜单项当滚动条靠近 div 时。 我的问题是:如何在执行一个事件时“禁止”执行另
我正在使用 jQuery 创建一个相当简单的 slider 。为此,我使用了 mousedown、mousemove 和 mouseup 事件。 var pageX; $handle.bind('mo
我在一个开源库中编程,该库在代码中几乎没有注释,而且绝对没有与代码相关的文档,或者此类注释完全没有显示任何内容或完全令人困惑。库的示例类有时定义如下(这是一个抽象的简短示例): class A {
CI中URI传递参数时,出现:The URI you submitted has disallowed characters.错误。 原因:这是由于uri中存在CI不允许的字符。 解决办法: 在
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
我编写了一个用于创建 Azure Windows VM 的 Terraform 模板。我需要将虚拟机配置为启用 PowerShell 远程处理,以便发布管道能够执行 Powershell 脚本。创建
如果在 R 函数中使用全局变量,是否有任何方法可以引发警告(并失败......)?我认为这更省钱,可以防止意外行为......例如 sUm local variable ‘sum’ assigned
我有以下代码,但出现 Sonar 违规错误:不允许分配参数解决这个问题的最佳方法是什么? /** * @param lastAccessTime the lastAccessTime
我想从表格中检索大气颗粒物值(遗憾的是该网站不是英文的,所以请随意询问所有内容):我失败了 BeautifulSoup 的组合并使用 requests 发送 GET 请求,因为表动态地填充了 Bo
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
新建一个git项目,只添加README.txt当我提交时,发生错误。 最佳答案 这里的问题似乎是您的用户名。使用 git config --list 检查它。您可以使用 更改它 $ git confi
如何禁止用户输入“*” read -p "inputData : " inputData #user input * echo $inputData #here it outputs the curr
我是一名优秀的程序员,十分优秀!