Update file require-uid-greater-1000.yaml
Auszug aus dem Helm Chart:
spec:
replicas: {{ .Values.confighub.replicaCount | default 1 }}
selector:
matchLabels:
{{- include "matrix-synapse.selectorLabels" . | nindent 6 }}
app.kubernetes.io/component: {{ $component }}
template:
metadata:
annotations:
checksum/config: {{ include (print .Template.BasePath "/confighub-configuration.yaml") . | sha256sum }}
labels:
{{- include "matrix-synapse.selectorLabels" . | nindent 8 }}
app.kubernetes.io/component: {{ $component }}
spec:
serviceAccountName: {{ .Release.Name }}
{{- include "matrix-synapse.imagePullSecrets" . | nindent 6 }}
securityContext:
{{- toYaml .Values.confighub.podSecurityContext | nindent 8 }}
containers:
- name: nginx
image: "{{ .Values.confighub.image.repository }}:{{ .Values.confighub.image.tag }}"
imagePullPolicy: {{ .Values.confighub.image.pullPolicy }}
securityContext:
{{- toYaml .Values.confighub.securityContext | nindent 12 }}
Wir setzen den Security Context derzeit wie folgt:
spec:
securityContext:
runAsGroup: 1001
runAsUser: 1001
Trotzdem schlägt die Regel derzeit als Fehler an.
Die Regel wird derzeit nur als erfolgreich gewertet, wenn wir folgendes angeben.
containers:
- name: nginx
securityContext:
runAsUser: 1001
Ich denke, dass die Regel eher analog der Regel require-run-as-nonroot
lauten müsste. https://kyverno.io/policies/pod-security/restricted/require-run-as-nonroot/require-run-as-nonroot/ , sodass an nur einer Stelle der User konfiguriert werden muss und nicht an zwei Stellen.
FYI: @chris @aschaber1
Edited by Rainer Molitor