PodSecurity Admission Controller
PSP が廃止されるため、その代替としてαリリースされた。説明は https://qiita.com/uesyn/items/cf47e12fba5e5c5ea25f が詳しい。
root 以外のユーザーが 1024 番以下のポートで bind できるように
Linux Kernel 4.11 から ip_unprivileged_port_start
が入っており、この値を0にすると、非特権プロセスでも 1024 番以下のポートで bind できるようになる。
Kubernetes 1.22 より、この値を SecurityContext経由で設定できるようになったため、コンテナのユーザーを root にする理由が一つ減った。
securityContext:
sysctls:
- name: net.ipv4.ip_unprivileged_port_start
value: "1"
https://raesene.github.io/blog/2021/07/03/containers-and-low-ports/ がまとまっている。
kubelet に SeccompDefault
が追加
Node ごとにデフォルトの Seccomp Profile を設定できる。これを設定すると RuntimeDefault
が指定されることになり、コンテナランタイムのデフォルトの Profile が利用されるようになる。
rootless containers のサポート
これにより、すべての Kubernetes コンポーネントとコンテナが root 以外で動かせるようになるため Breakout による影響を小さくすることができる。