2.5. Red Hat Windows Machine Config Operator 4.0.0 릴리스 노트

Linux 기반 포드의 보안 컨텍스트에 RunAsUser 권한이 설정된 경우 예상 파일에는 컨테이너 사용자 소유권을 포함하여 올바른 권한이 설정되어 있습니다. 그러나 Windows와 동등한 RunAsUsername 권한이 Windows Pod에 설정된 경우 kubelet은 예상 볼륨의 파일에 올바른 소유권을 설정하지 못합니다. 모범 사례가 따르지 않는 hostPath 볼륨 과 함께 사용하면 이 문제가 발생할 수 있습니다. 예를 들어 Pod에서 C:\var\lib\kubelet\pods\pods\ 폴더에 대한 액세스 권한을 부여하면 Pod가 다른 Pod의 서비스 계정 토큰에 액세스할 수 있습니다.

기본적으로 이 예제와 같이 예상된 파일은 다음과 같은 소유권을 갖게 됩니다. Windows 예상 볼륨 파일은 다음과 같습니다.

Path   : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt
Owner  : BUILTIN\Administrators
Group  : NT AUTHORITY\SYSTEM
Access : NT AUTHORITY\SYSTEM Allow  FullControl
         BUILTIN\Administrators Allow  FullControl
         BUILTIN\Users Allow  ReadAndExecute, Synchronize
Audit  :
Sddl   : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)

이는 ContainerAdministrator 역할과 마찬가지로 모든 관리자 사용자에게 읽기, 쓰기, 실행 액세스 권한이 있음을 나타내지만 관리자 이외의 사용자는 읽기 및 실행 액세스 권한이 있습니다.

또한 기본 RunAsUser 권한이 설정된 예상 볼륨으로 Windows Pod가 생성되면 Pod가 ContainerCreating 단계에서 중단됩니다.

이러한 문제를 처리하기 위해 OpenShift Container Platform은 Pod의 보안 컨텍스트에 설정된 예상 서비스 계정 볼륨에서 파일 권한을 처리하도록 강제 적용합니다. Windows에서 예상 볼륨에는 적용되지 않습니다(BZ#1971745). Windows Pod에 대한 이 동작은 OpenShift Container Platform 4.7 이전의 모든 Pod 유형에서 작동하는 데 사용되는 파일 권한 처리 방법입니다.