web-dev-qa-db-fra.com

kubernetes PodSecurityPolicy défini sur runAsNonRoot, le conteneur a runAsNonRoot et l'image a un utilisateur non numérique (appuser), ne peut pas vérifier que l'utilisateur n'est pas root

kubernetes PodSecurityPolicy défini sur runAsNonRoot, les pods ne démarrent pas après cette erreur. Erreur: le conteneur a runAsNonRoot et l'image a un utilisateur non numérique (appuser), ne peut pas vérifier que l'utilisateur n'est pas root

Nous créons l'utilisateur (appuser) uid -> 999 et le groupe (appgroup) gid -> 999 dans le conteneur Docker, et nous démarrons le conteneur avec cet utilisateur.

Mais la création du pod génère une erreur.

    Events:
      Type     Reason                 Age                From                           Message
      ----     ------                 ----               ----                           -------
      Normal   Scheduled              53s                default-scheduler              Successfully assigned app-578576fdc6-nfvcz to appmagent01
      Normal   SuccessfulMountVolume  52s                kubelet, appagent01  MountVolume.SetUp succeeded for volume "default-token-ksn46"
      Warning  DNSConfigForming       11s (x6 over 52s)  kubelet, appagent01  Search Line limits were exceeded, some search paths have been omitted, the applied search line is: app.svc.cluster.local svc.cluster.local cluster.local 
      Normal   Pulling                11s (x5 over 51s)  kubelet, appagent01  pulling image "app.dockerrepo.internal.com:5000/app:9f51e3e7ab91bb835d3b85f40cc8e6f31cdc2982"
      Normal   Pulled                 11s (x5 over 51s)  kubelet, appagent01  Successfully pulled image "app.dockerrepo.internal.com:5000/app:9f51e3e7ab91bb835d3b85f40cc8e6f31cdc2982"
      Warning  Failed                 11s (x5 over 51s)  kubelet, appagent01  Error: container has runAsNonRoot and image has non-numeric user (appuser), cannot verify user is non-root

.
kuberneteskubernetes-security
7
user1819071

Voici le implémentation de la vérification:

case uid == nil && len(username) > 0:
    return fmt.Errorf("container has runAsNonRoot and image has non-numeric user (%s), cannot verify user is non-root", username)

Et voici le appel de validation avec le commentaire:

// Verify RunAsNonRoot. Non-root verification only supports numeric user.
if err := verifyRunAsNonRoot(pod, container, uid, username); err != nil {
    return nil, cleanupAction, err
}

Comme vous pouvez le voir, la seule raison de ces messages dans votre cas est uid == nil. Sur la base du commentaire dans le code source, nous devons définir une valeur utilisateur numérique.

Donc, pour l'utilisateur avec UID = 999, vous pouvez le faire dans la définition de votre pod comme ça :

securityContext:
    runAsUser: 999
11
Anton Kostenko