为什么k8s示例限制了PodSecurityPolicy而不限制RunAsGroup？

Question

K8s文档中有一个关于受限PodSecurityPolicy的示例：

https://kubernetes.io/docs/concepts/policy/pod-security-policy/#example-policies

它限制“supplementalGroups”和“fsGroup”，但不限制“runAsGroup”

  supplementalGroups:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

因此，它允许securityContext中的容器指定id为0的根组。这不是一个问题吗？不应该这样做吗？

  runAsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535

是否添加到限制性PodSecruityPolicy？

Answer 1

不应该将following...be添加到限制性PodSecruityPolicy中吗？

这是一个限制你的primary group的选项，如果你没有它，那么你的主要组将不会受到限制。因此，基本上，pod仍然可以作为根Group: 0运行容器。

supplementalGroups是指除了主要组(辅助组)之外添加到用户的任何附加组。在* primary group and a set of limited secondary groups系统️中，您可以让进程作为属于nix的进程运行。

✌️