如何将 fsGroup 设置为命名空间中的所有 pods
How to set fsGroup to all pods in namespace
有没有办法定义所有 pods 在特定命名空间中生成
将具有特定的 fsGroup(例如 =65534)?
谢谢!
fsGroup 只能在 pod 级别本身设置,但是有一些方法可以控制和改变由 apiserver 创建的 pods。
您可以有一个变异的 webhook,它 adds/modifies 在特定命名空间中创建的所有 pods 的 fsGroup 字段:
https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/
您还可以使用 OPA,它提供了一个可配置的动态准入控制器,您只需在其中定义要执行的策略:
https://www.openpolicyagent.org/docs/v0.12.2/kubernetes-admission-control/
有没有办法定义所有 pods 在特定命名空间中生成 将具有特定的 fsGroup(例如 =65534)?
谢谢!
fsGroup 只能在 pod 级别本身设置,但是有一些方法可以控制和改变由 apiserver 创建的 pods。
您可以有一个变异的 webhook,它 adds/modifies 在特定命名空间中创建的所有 pods 的 fsGroup 字段: https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/
您还可以使用 OPA,它提供了一个可配置的动态准入控制器,您只需在其中定义要执行的策略: https://www.openpolicyagent.org/docs/v0.12.2/kubernetes-admission-control/