Kubernetes と OPA を組み合わせて Namespace と Pod の「ラベル強制」を試した

今回は Kubernetes と OPA (Open Policy Agent) を組み合わせて「ラベル強制」を試す． OPA Gatekeeper をインストールする まず，Kubernetes クラスターに OPA Gatekeeper をインストールする．今回は OPA のドキュメントに載っている kubectl apply コマン…

docker run コマンドの --pid オプションで PID namespace を共有する

docker run コマンドで使える --pid オプションを試す．Docker では以下のドキュメントに書いてある通り，デフォルトでは PID namespace でコンテナ同士を隔離する．よって，コンテナ同士でプロセスを共有することはできず，各コンテナでは PID 1 を含む「プ…

kube-apiserver で「匿名リクエスト」を無効化する : --anonymous-auth=false

Kubernetes の kube-apiserver では，デフォルトで「匿名リクエスト」機能が有効になっている（正確な条件は以下のドキュメントに載っている）．今回は「匿名リクエスト」機能の動作確認と kube-apiserver のセキュリティ対策として「匿名リクエスト」機能の…

Secret の自動マウントをオプトアウトするかどうか : automountServiceAccountToken フィールド

Kubernetes のセキュリティ対策として，Service Account と Pod に設定できる automountServiceAccountToken フィールド（Secret の自動マウントをオプトアウトするかどうか）の動作確認をした．とは言え，Service Account と Secret の関係性なども整理する…

Kubernetes と seccomp を組み合わせてシステムコールを制限する

前回の記事では seccomp (Secure computing mode) に入門するために「Docker と seccomp」を組み合わせて試した．docker run コマンドの --security-opt オプションを使って seccomp プロファイルを指定した． kakakakakku.hatenablog.com 今回は「Kubernete…

Docker と seccomp を組み合わせてシステムコールを制限する

seccomp (Secure computing mode) はプロセスに対してシステムコールを制限する Linux kernel の機能で，今回は「Docker と seccomp」を組み合わせて試す．ドキュメントは以下にある． docs.docker.com seccomp デフォルトプロファイル まず，Docker はデフ…