今回は Kubernetes と OPA (Open Policy Agent) を組み合わせて「ラベル強制」を試す． OPA Gatekeeper をインストールする まず，Kubernetes クラスターに OPA Gatekeeper をインストールする．今回は OPA のドキュメントに載っている kubectl apply コマン…

docker run コマンドで使える --pid オプションを試す．Docker では以下のドキュメントに書いてある通り，デフォルトでは PID namespace でコンテナ同士を隔離する．よって，コンテナ同士でプロセスを共有することはできず，各コンテナでは PID 1 を含む「プ…

Kubernetes の kube-apiserver では，デフォルトで「匿名リクエスト」機能が有効になっている（正確な条件は以下のドキュメントに載っている）．今回は「匿名リクエスト」機能の動作確認と kube-apiserver のセキュリティ対策として「匿名リクエスト」機能の…

Kubernetes のセキュリティ対策として，Service Account と Pod に設定できる automountServiceAccountToken フィールド（Secret の自動マウントをオプトアウトするかどうか）の動作確認をした．とは言え，Service Account と Secret の関係性なども整理する…

前回の記事では seccomp (Secure computing mode) に入門するために「Docker と seccomp」を組み合わせて試した．docker run コマンドの --security-opt オプションを使って seccomp プロファイルを指定した． kakakakakku.hatenablog.com 今回は「Kubernete…

seccomp (Secure computing mode) はプロセスに対してシステムコールを制限する Linux kernel の機能で，今回は「Docker と seccomp」を組み合わせて試す．ドキュメントは以下にある． docs.docker.com seccomp デフォルトプロファイル まず，Docker はデフ…