Что будет лучше, чем этот контекст безопасности K8S? ⇐ Linux

[Anonymous]

У нас есть кластер OpenShift, работающий на RHEL. У нас есть бегство, работающее с контекстом безопасности ниже.

Код: Выделить всё

securityContext:
privileged: true
< /code>
Я хочу сделать это лучше. Сделал выпуск https://github.com/fluent/fluent-bit/issues/872, что дает предложение запустить в качестве корня и отбросить все возможности, кроме CAP_FOWNER 

. Который не сработал для меня. Может возникнуть из -за selinux. < /P>
Но я вижу многочисленные проблемы в этом < /p>

Что, если корень внутри контейнера не такой, как корень на хосте? более безопасно. Кто -то предложил ниже контекста безопасности. Он работает, но все же это привилегированный контейнер.

Код: Выделить всё

securityContext:
privileged: true
runAsNonRoot: true
runAsUser: 12345

Какова разница между , работающим как root и , работая как привилегированный контейнер?

Подробнее здесь: https://stackoverflow.com/questions/797 ... ty-context