Über Open CoDE Software Wiki Diskussionen GitLab

Skip to content

Update file require-uid-greater-1000.yaml

Dirk Klimpel requested to merge klimpel-master-patch-686e into master

Auszug aus dem Helm Chart:

spec:
  replicas: {{ .Values.confighub.replicaCount | default 1 }}
  selector:
    matchLabels:
      {{- include "matrix-synapse.selectorLabels" . | nindent 6 }}
      app.kubernetes.io/component: {{ $component }}
  template:
    metadata:
      annotations:
        checksum/config: {{ include (print .Template.BasePath "/confighub-configuration.yaml") . | sha256sum }}
      labels:
        {{- include "matrix-synapse.selectorLabels" . | nindent 8 }}
        app.kubernetes.io/component: {{ $component }}
    spec:
      serviceAccountName: {{ .Release.Name }}
      {{- include "matrix-synapse.imagePullSecrets" . | nindent 6 }}
      securityContext:
        {{- toYaml .Values.confighub.podSecurityContext | nindent 8 }}
      containers:
        - name: nginx
          image: "{{ .Values.confighub.image.repository }}:{{ .Values.confighub.image.tag }}"
          imagePullPolicy: {{ .Values.confighub.image.pullPolicy }}
          securityContext:
            {{- toYaml .Values.confighub.securityContext | nindent 12 }}

Wir setzen den Security Context derzeit wie folgt:

    spec:
      securityContext:
       runAsGroup: 1001
       runAsUser: 1001

Trotzdem schlägt die Regel derzeit als Fehler an.

Die Regel wird derzeit nur als erfolgreich gewertet, wenn wir folgendes angeben.

      containers:
        - name: nginx
          securityContext:
            runAsUser: 1001

Ich denke, dass die Regel eher analog der Regel require-run-as-nonroot lauten müsste. https://kyverno.io/policies/pod-security/restricted/require-run-as-nonroot/require-run-as-nonroot/ , sodass an nur einer Stelle der User konfiguriert werden muss und nicht an zwei Stellen.

FYI: @chris @aschaber1

Edited by Dirk Klimpel

Merge request reports

Loading