Von und zu Runtimegeschichten
Agenda:
- Was kritisch bei Docker ist
- Desgleichen in K8s/OCP und etwas mehr
- PSP/SCC to the rescue
- Abgesang auf PSP
Mounts/Privilegiert/(Linux)Namespaces/USER
docker container run --rm -v /etc/:/srv/ alpine cat /srv/passwd
docker container run --rm -v /proc:/host/proc --privileged -ti alpine
docker container run --rm -ti --pid host alpine
docker container run --rm -ti --net host alpine
docker container run --rm -ti --user 1000 alpine
docker container run --rm -ti --user 1235 erkules/ping
Eigentlich nur pod-max-privileged.yaml anschauen :)
Beispiele mit PSP (ohne Rolebinding)
SCC zeigen
Fahrplan laut Formalie
Deprecated ab K8s 1.21 (Sommer)
Weg ab K8s 1.25 (Sommer +2 Jahre)
SCC bleibt
Nächster Talk