Pod にセキュリティポリシを適用する
Kubernetes では、セキュリティリスクを低減するために Pod Security Standards(以下、PSS)という Pod セキュリティの推奨構成が定義されています。PFCP では、PSS に準拠した Pod セキュリティプロファイルが適用されます。
PSS には、Restricted・Baseline・Privileged の 3 つのポリシーがあり、PFCP ではデフォルトで Baseline が適用されます。Baseline は、コンテナワークロードに対する制限を少なめにしつつも、既知の特権昇格に対し対策されたポリシーです。
より Pod セキュリティを強化したい場合には、Restricted ポリシーも利用できます。
Pod の label に policy.preferred.jp/pod-security: restricted をつけることで Restricted が適用され、ポリシーに違反する Pod は作成できなくなります。
PSS の各ポリシーの詳細については、 Kubernetesの公式ドキュメント をご参照ください。
MN-Core シリーズ利用時のプロファイル
MN-Core シリーズのリソースを要求する Pod を作成すると、MN-Core シリーズを用いた演算の処理速度を向上するために、自動的に SYS_NICE capability が付与されます1。 この対応は、MN-Core シリーズのリソースを要求する Pod に限定されます。 MN-Core シリーズのリソースを要求しない Pod の場合は、PSS Baseline に準拠しているため、SYS_NICE capability は付与できません。
-
Kubernetes の標準機能ではなく、PFCP 独自の拡張です。 ↩