5.10.3 - 考慮使用 GKE Sandbox 執行不受信任的工作負載（自動化）

影響

• 加速器如 GPU 或 TPU
• Istio
• 在 Pod 或容器層級監控統計數據
• Hostpath 存儲
• 每個容器的 PID 命名空間
• CPU 和記憶體限制僅適用於保證型 Pods 和可突發型 Pods，且僅在為 Pod 中運行的所有容器指定了 CPU 和記憶體限制時才適用
• 使用指定主機命名空間的 PodSecurityPolicies 的 Pods，例如 hostNetwork、hostPID 或 hostIPC
• 使用 PodSecurityPolicy 設定（例如特權模式）的 Pods
• 磁碟裝置
• 埠轉發
• Linux 核心安全模組如 Seccomp、Apparmor 或 Selinux Sysctl、NoNewPrivileges、雙向 MountPropagation、FSGroup 或 ProcMount

稽核

1. 前往 Kubernetes Engine 網站。
2. 點擊每個叢集，並點擊任何非預設配置的節點池。
3. 在節點池詳細資訊頁面中，於節點池詳細資訊頁面的安全性標題下，檢查Sandbox with gVisor是否設為已啟動。

gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME 
--zone $COMPUTE_ZONE --format json | jq '.config.sandboxConfig'

{ 
    "sandboxType":"gvisor" 
}

補救

1. 前往 Kubernetes Engine 網站。
2. 選取叢集，然後按一下「ADD NODE POOL」。
3. 進行節點池的下列設定：
   • 對於節點版本，請選擇 v1.12.6-gke.8 或更高版本。
   • 對於節點映像，選擇Container-Optimized OS with Containerd (cos_containerd) (default)。
   • 在安全性下，選擇「Enable sandbox with gVisor」。
4. 請視需要進行其他節點池設定。
5. 點擊「SAVE」。

gcloud container node-pools create <node_pool_name> --zone <compute-zone> 
--cluster <cluster_name> --image-type=cos_containerd --sandbox="type=gvisor"

其他資訊：