5分でわかる Capabilities と Privilege + KubeCon Recap
Download as PPTX, PDF0 likes653 views
Docker Meetup Tokyo #23 で発表した Capabilities と KubeCon Recap の内容になります。 Based on「Keynote: Running with Scissors – Liz Rice」and dockerized.
5分でわかる Capabilities と Privilege + KubeCon Recap
- 1. Masaya Aoyama CyberAgent adtech studio MasayaAoyama @amsy810 Based on 「Keynote: Running with Scissors – Liz Rice」 Capabilities and Privileges + KubeCon Recap @Docker Meetup Tokyo #23
- 2. 連載「今こそ始めよう!Kubernetes 入門」 @ThinkIT Japan Container Days v18.04 Keynote 登壇 CKA (CKA-1700-0138-0100)、CKAD (CKAD-1800-0002-0100) OpenStack Active Technical Contributor Masaya Aoyama (@amsy810) Infrastructure Engineer
- 3. 日本からは 45 名〜が参加 (2017 EU 3 名〜、2017 NA: 33 名〜) 日本交流会@コペンハーゲン現 地
- 4. Capabilities and Privileges Index > Running images as root user What is Capabilities Add Capabilities At the Kubernetes environment and PodSecurityPolicy We needs more isolation?
- 5. Running images as root user page 05 # nginx:latest に capsh CLI を入れただけのイメージ $ docker run --name kubecon -d masayaaoyama/nginx:capsh # root 権限で動作しているケースが多い $ docker exec -it kubecon whoami root # ホスト上からは自ホストの root プロセスとして 見える $ ps -C nginx -o user,uid,cmd USER UID CMD root 0 nginx: master process nginx -g daemon off;
- 6. What is Capabilities page 06 # root ではあるが一部の権限は与えられていない $ docker exec -it kubecon hostname changed-name hostname: you must be root to change the host name # デフォルトで与えられる Capabilities $ docker exec -it kubecon capsh --print | grep Current Current: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_ bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip 参考: Man page of CAPABILITIES https://linuxjm.osdn.jp/html/LDP_man-pages/man7/capabilities.7.html
- 7. Add Capabilities page 07 # 一部の Capabilitiesを有効化する $ docker run --name kubecon -d --cap-add SYS_ADMIN masayaaoyama/nginx:capsh Current: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service ,cap_net_raw,cap_sys_chroot,cap_sys_admin,cap_mknod,cap_audit_write,cap_setfcap+eip # Host と同等の権限を渡す $ docker run --name kubecon -d --privileged=true masayaaoyama/nginx:capsh Current: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap ,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_o wner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_ sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control, cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend+eip
- 8. At the kubernetes environment 一般ユーザ Root Container kubectl Host にデータ書き込み (ex. hostPath) 消せない… PodSecurityPolicy の検討を… • Priviledge の利用可否 • 許可する Capabilities のリスト • 利用を許可する hostPath
- 9. 9 We needs more secure Isolation?For better security with container runtime Kata Containers gVisor
- 10. Cloud Native に近しい技術や CNCF がホストするプロジェクトについて共有し合う会です! 昨今はコンテナ関係のエコシステムが大量に増えてきましたが、 それらの技術検証結果などを発表しあう場として利用していきたいと思っており、仲間を募集しております。 1. NATS on Kubernetesの 良いところ (仮) 2018 年 3 月に CNCF の incubator に仲間入り を果たした、「Cloud Native なアプリケー ション向けのハイパフォーマンス Messaging システム」を提供する NATS について話しま す。 2. Fluent Bit vs Fluentd 1.x 「Fluentd 1.x vs Fluentd」および「Fluent Bit vs Fluentd 1.x」 の性能や利用可能なプラグイ ンの比較について話します。 3. サービスメッシュと仲間たち 〜Istio vs Conduit vs etc〜 様々な領域で話題になっている ServiceMesh。 Istio や Conduit など、様々な選択肢がありま すが、それぞれの特徴やできることについて 話します。
- 11. Do you have any questions? @amsy810 Thank you for your attention.