プロファイル適用性: レベル1
通常、
hostIPCフラグがtrueに設定されたコンテナの実行を許可しないでください。ホストのIPCネームスペースで実行されているコンテナは、IPCを使用してコンテナ外のプロセスと相互作用することができます。
コンテナがホストIPC名前空間を共有することを許可しない入場制御ポリシーが少なくとも1つ定義されている必要があります。hostIPCを必要とするコンテナを実行する必要がある場合は、別のポリシーで定義し、そのポリシーを使用する許可が限られたサービスアカウントとユーザにのみ与えられていることを慎重に確認する必要があります。
 |
注意デフォルトでは、
hostIPCコンテナの作成に制限はありません。 |
影響
spec.hostIPC: trueで定義されたポッドは、特定のポリシーの下で実行されない限り許可されません。監査
クラスター内の各ネームスペースで使用されているポリシーを一覧表示し、各ポリシーが
hostIPCコンテナの許可を禁止していることを確認してください。hostIPCフラグを検索: YAML出力で、specセクションの
hostIPC設定を探し、それがtrueに設定されているか確認します。kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.hostIPC == true) | "\(.metadata.namespace)/\(.metadata.name)"'
または:
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.hostIPC == true) | select(.metadata.namespace != "kube-system" and .metadata.namespace != "gatekeeper-system" and .metadata.namespace != "azure-arc" and .metadata.namespace != "azure-extensions-usage-system") | "\(.metadata.name) \(.metadata.namespace)"'
PodSecurityPolicyを作成する際、
["kube-system", "gatekeeper-system", "azure-arc", "azure-extensions-usage-system"]ネームスペースはデフォルトで除外されます。このコマンドは、すべてのネームスペースにわたるすべてのポッドをJSON形式で取得し、次にjqを使用して
hostIPCフラグがtrueに設定されているものをフィルタリングし、最後に一致するポッドのネームスペースと名前を表示するように出力をフォーマットします。修復
ユーザのワークロードがあるクラスター内の各ネームスペースにポリシーを追加して、
hostIPCコンテナのアドミッションを制限します。Podセキュリティポリシーと割り当ては、Azureポータルでポリシーを検索することで見つけることができます。詳細な手順ガイドは、Kubernetesポリシードキュメントで見つけることができます。