Skip to content

Latest commit

 

History

History
101 lines (54 loc) · 6.01 KB

README_ru.md

File metadata and controls

101 lines (54 loc) · 6.01 KB

PODSEC (Podman Security)

podsec - набор скриптов для разворачивания и поддержки защищенных rootless решений для podman и rootless-kubernetes (podsec-u7s) в рамках дистрибутивов c10+, p10+ ALTLinux.

Обеспечивает:

  1. Разворачивание rootfull или rootless кластера kubernetes версии v1.26.3 и выше

  2. Создание пользователей различных категорий с различными правами доступа и работы с docker-образами.

  3. Создание регистратора образов и WEB-сервера доступа к подписям образов.

  4. Настройку политик доступа и работы с образами для различных категорий пользователей.

  5. Предоставление пользователям доступа к kubernetes-кластеру.

  6. Настройку RBAC-правил доступа к кластеру kubernetes.

Для пошаговой миграции с rootfull-кластеров возможно разворачивание гетерогененных кластеров путем подключения rootless-узлов к rootfull-кластеру. При этом нет необходимости в использовании остальных режимов (2-6).

Подробности установки и настройки описаны на странице Rootless kubernetes.

Категории пользователей

Пользователи делятся на следующие категории:

  • Администраторы - пользователя, входящие в группу whell включая root.

  • Администратор rootless kubernetes - u7s-admin.

  • Создателей docker-образов

  • Пользователей docker-образов

Администраторы

Эта категория пользователей имеет право создавать пользователей категории создателей и пользователей docker-образов.

Кроме этого при создании кластера kubernetes они имеют право администрировать кластер.

Администратор rootless kubernetes - u7s-admin

Этот пользователь принадлежит системным пользователям. Не входит в группу wheel. С точки зрения host-системы является обычным (непривелигрованным) пользователем. От его имени (под его uid) и в рамках его namespace запускаются все Pod'ы в rootless kubernetes-кластере.

Как и Администратор имеет право администрировать rootless kubernetes-кластер. Но в отличие от него, позволяет войти в его namespace и администрировать в рамках узла ресурсы этого namespace:

  • сетевые интерфейсы tap0, cni0, ...;
  • правила iptables;
  • файлы и каталоги созданные в рамках этого namespace;
  • процессы;
  • ...

Кроме этого позволяет просматривать логи Podов узла в каталоге /var/log/pods/...

Создатели docker-образов

Пользователи этой категории имеют все права по работе с образами:

  • Скачивать образы с любого доступного регистратора.

  • Импорт/Экспорт образов из архивных форматов.

  • Создание образов из Dockefile's.

  • Помещение образов на регистраторы.

  • Помещение с подписыванием свой электронной подписью образов на локальный регистратор registry.local

Пользователи входят в группы podman-dev, podman.

Пользователи docker-образов

Пользователи этой категории не имеют ни одного из вышеперечисленных прав работы с образами, за исключением загрузки подписанных образов с локального регистратора registry.local и работы с ними.

Пользователи входят в группы podman.

Набор RPM-пакетов

Файл спецификации podsec.spec обеспечивает создание следующих RPM-пакетов:

  • podsec - набор скриптов по созданию пользователей, политик доступа, разворачивания локального регистратора и WEB-сервера подписей, загрузки архива kubernetes-образов в локальный регистратор.

  • podsec-k8s - набор скриптов по разворачиванию rootless кластера kubernetes

  • podsec-k8s-rbac - набор скриптов по предоставлению пользователям доступа к kubernetes-кластеру и назначения им ролей в рамках кластера.

  • podsec-inotify - набор скриптов по мониторингу нарушения политик безопасности.

  • podsec-dev - набор скриптов по уcтановке и обновлению kubernetes-образов.

Замечания

  • пакеты podsec* работает под Linux kernel версии 5.15 и выше.