قد يكون من الصعب إدارة درجة الامتيازات التي يتم توفيرها لكل Pod وحاوية في حاوية Kubernetes. قد نستخدم إمكانيات Kubernetes SecurityContext لإضافة أو حذف إمكانات Linux من Pod and Container لزيادة أمان الحاوية. تركز هذه المقالة على استخدام securityContext لتنفيذ مثال بسيط لإضافة وحذف القدرات. يتم توفير تكوين ملف yaml لحذف جميع الإمكانات وإضافة إمكانية واحدة فقط إلى الحاوية في مثال العينة. في هذه المقالة ، يتم استخدام أوامر proc و capsh لعرض قدرات الحاوية.
الخطوة 1: ابدأ تشغيل خادم Minikube
أولاً ، ابدأ تشغيل خادم minikube حتى تتمكن من تشغيل التطبيق الخاص بك واستخدام تعليمات kubectl. يمكنك نشر العقد والبودات وحتى المجموعات باستخدام خادم minikube في بيئة Kubernetes. يجب استخدام الأمر التالي للحفاظ على minikube في الوضع النشط:
> بدء minikube
من خلال القيام بذلك ، يتم تشغيل خادم minikube وتكون بيئة Kubernetes جاهزة للاستخدام.
الخطوة 2: قم بإنشاء ملف Kubernetes YAML
في الخطوة الثانية ، قم بإنشاء ملف YAML لنشر البود.
اتبع الخطوات لإنشاء ملف yaml باستخدام nano:
- انتقل إلى مسار الدليل حيث تريد إنشاء الملف أو تعديل ملف موجود.
- اكتب الأمر nano متبوعًا باسم الملف.
قم بتشغيل أمر nano التالي. يقوم بإنشاء ملف تكوين YAML يسمى 'nano podsample.yaml'.
> نانو podsample.yamlدعنا ننتقل إلى الخطوة التالية وهي مساعدتك في معرفة كيفية تكوين ملف podsample.yaml.
الخطوه 3: تكوين ملف YAML
نضيف أداة capsh في الخطوة السابقة حتى نتمكن من رؤية إمكانيات الحاوية الخاصة بنا.
لاحظ أنه لم يتم تكوين أي من هذه المعلمات لقسم securityContext لهذه الحاوية. وبالتالي ، يتم تعيينهم جميعًا على الإعدادات الافتراضية للنظام. ضع في اعتبارك حقيقة أن هذه الحاوية تعمل كمستخدم افتراضي يتم توفيره في Dockerfile الذي تم إنشاؤه منه إذا لم يتم تحديد مستخدم لها في Kubernetes. بالنسبة للعديد من الحاويات ، يكون هذا المستخدم الافتراضي هو الجذر.
الخطوة الرابعة: قم بإنشاء جراب
في هذه الخطوة ، لنقم بإنشاء podsample.yaml باستخدام الأمر المرفق التالي:
> kubectl تطبيق -F podsample.yaml 
الخطوة الخامسة: تحقق من القدرات
في الخطوة السابقة ، يتم إنشاء جراب وتشغيله.
الآن بعد أن أصبح لدينا غلاف بداخله ، يمكننا استخدام capsh للتحقق من قدراته باستخدام الأمر التالي:
> $ kubectl إكسيك - -ستدين - -Tty قبعات - - رمادباستخدام الأمر capsh ، من الممكن رؤية القدرات الافتراضية للحاوية المدرجة على النحو التالي:
يمكننا أن نلاحظ من الإخراج المعطى أن الحاوية لديها العديد من القدرات الافتراضية التي يتم إعطاؤها للحاوية في وقت التشغيل.
الخطوة السادسة: ارمي أعزب Capabilit ص في Kubernetes SecurityContext
في هذه الخطوة ، نسقط القدرة الفردية للحاوية.
لنقم بتهيئة ملف yaml باستخدام الأمر التالي:
> نانو دروبودبعد ذلك ، انتقل إلى تكوين ملف droppod.yaml باستخدام الأمر التالي:
> kubectl تطبيق -F droppod.yaml 
خطوة 7 : تكوين لإضافة القدرة الفردية في ملف YAML
في هذه الخطوة ، افتح ملف yaml (drop.yaml) الذي تم إنشاؤه في الخطوة 6. ثم قم بتعيين الحاوية بحيث لم يعد بإمكانها الوصول إلى إمكانية CAP_MKNOD ، والتي تزيل القدرة على إنشاء عقد نظام الملفات الجديدة.
الملف الذي تم تكوينه هو كما هو موضح:
خطوة 8 : تحقق من القدرات
تم تكوين ملف yaml لإسقاط إمكانية CAP_MKNOD.
في هذه الخطوة ، قم بتنفيذ وتشغيل ملف dropcaps.yaml للتحقق من إمكانيات الحاوية باستخدام الأمر التالي:
> $ kubectl إكسيك - -ستدين - -Tty انخفاض قبعات - - رماديمكن التحقق من القدرات عن طريق تشغيل ملف Dropcaps:
> # capsh - -طباعة 
يمكننا أن نلاحظ أن هذا الجراب قد أسقط قدرة CAP_MKNOD مقارنة بالجزء الأول.
خطوة 9 : قم بإسقاط جميع القدرات في Kubernetes SecurityContext
نظرًا لأن Kubernetes يمكنه إسقاط إمكانية واحدة ، فيمكنه أيضًا إسقاط جميع الإمكانات من خلال securityContext. في هذه الخطوة ، قم بإسقاط جميع إمكانيات الحاوية من خلال تضمين الأمر المعطى:
> نانو samplenocap.yamlبعد ذلك ، قم بتكوين ملف samplenocap.yaml باستخدام الأمر التالي:
> kubectl خلق -F samplenocap.yaml 
الآن ، دعنا ننتقل إلى الخطوة التالية لإسقاط جميع القدرات في إعدادات securityContext الخاصة بنا.
الخطوة 10: قم بتكوين كل القدرات في ملف YAML
في هذه الخطوة ، افتح ملف yaml الذي تم إنشاؤه في الخطوة 9. ثم قم بالتكوين داخل container.securityContext وقم بإسقاط جميع إمكانيات الحاوية.
الملف الذي تم تكوينه هو كما هو موضح:
خطوة أحد عشر : تحقق من القدرات
قم بتشغيل nocaps في capsh للاطلاع على معلومات حول الإمكانات. في هذه الخطوة ، استخدم الأمر التالي واعرض جميع إمكانيات الحاوية:
> kubectl إكسيك - -ستدين - -Tty لا قبعات - - رماديمكن التحقق من القدرات في الرسم التوضيحي التالي عن طريق تشغيل ملف samplenocaps yaml في capsh:
> # capsh - -طباعة 
يظهر الناتج السابق أن التيار = ”” ومجموعة الإحاطة = ”” فارغتان الآن. تم إسقاط القدرات بنجاح.
الخطوة 1 2 : قم بتثبيت ملف Bash
في هذه الخطوة ، قم بتثبيت Bash من خلال apk لأن بعض وظائف النظام لن تعمل إذا لم يكن لدينا أي إمكانيات على الإطلاق. على الرغم من أن الحاوية الخاصة بنا تعمل كجذر ، إلا أن تثبيت حزمة Bash يفشل.
> # apk إضافة باش 
الخطوة 1 3 : تحقق من معلومات القدرات
هناك عدة طرق لعرض إمكانيات الحاوية الخاصة بنا مثل استخدام أوامر capsh و proc. في هذه الخطوة ، نعرض سعات الحاوية باستخدام الأمر proc ويعرض proc القدرات كصورة نقطية. على الرغم من أنه ليس مقروءًا تمامًا مثل نتيجة capsh ، إلا أن كل بت معرف هنا يمثل قدرة معينة.
> # cd / proc / 1 / 
هنا ، يمكننا أن نرى أن هذه الحاوية المعينة ليس لديها إمكانيات ممكّنة ؛ كل هذه القيم صفر.
الخطوة 1 4 : إضافة قدرة واحدة في Kubernetes SecurityContext
في الخطوات السابقة ، أسقطنا قدرة واحدة وهي CAP_MKNOD وأسقطنا جميع الإمكانات. لكن في هذه الخطوة ، يمكننا إضافة القدرات مرة أخرى.
قم بتنفيذ الأمر التالي لإنشاء ملف yAML:
> نانو sampleadd.yamlبعد ذلك ، قم بتكوين ملف sampleadd.yaml.
> kubectl خلق -F sampleadd.yaml 
الآن ، لنجرب ملف sampleadd.yaml وأضف سعة واحدة في إعدادات securityContext الخاصة بنا.
الخطوة 1 5 : تكوين القدرة المفردة في ملف YAML
الآن ، دعنا نقوم بتهيئة الملف عن طريق إضافة القدرة في spec.container.securityContext إلى features.add [“MKNOD”].
يتم عرض القدرة في ملف YAML.
خطوة 16 : تحقق من القدرات
في هذه الخطوة ، قم بتشغيل addcaps للتحقق من القدرات باستخدام الأمر التالي:
> kubectl إكسيك - -ستدين - -Tty addcaps - - مثليمكن رؤية السعة المضافة في الإخراج المعطى التالي:
التيار = cap_mknod + ep
مجموعة ملزمة = cap_mknod
> # capsh - -طباعة 
استنتاج
لقد تعلمت أولاً من المثال الذي تم تنفيذه حول الإمكانات الافتراضية للحاوية التي تم تعيينها في وقت التشغيل الذي يتم عرضه باستخدام الأمر capsh. بعد ذلك ، تعلمت إسقاط إمكانية واحدة في حاوية تسمى CAP_MKNOD. بعد ذلك ، تعلمت أيضًا كيفية إسقاط جميع إمكانيات الحاوية باستخدام // drop: –all config. بعد ذلك ، استخدمنا طريقتين لعرض إمكانيات الحاويات - باستخدام أوامر capsh و proc.