เมื่อเปิดใช้งาน addon นโยบาย Azure (ตามนโยบายองค์กร) เราไม่สามารถสร้างคอนเทนเนอร์ที่มีสิทธิพิเศษบน aks, azure kubernetes ได้
แอปพลิเคชันของเราถูกตั้งค่าเป็นบริบทความปลอดภัยดังต่อไปนี้
บริบทความปลอดภัย:
allowPrivilegeEscalation: เท็จ
runAsNonRoot: จริง
เรียกใช้ AsUser: 999
แอปของเราจึงสามารถสร้างได้โดยไม่ต้องมีสิทธิพิเศษ แต่เมื่อเชื่อมโยงกับกงสุล (ผ่านคำอธิบายประกอบ) คอนเทนเนอร์ init ของกงสุลจะไม่สามารถสร้างได้
คำเตือน FailedCreate 6s (x15 over 90s) replicaset-controller เกิดข้อผิดพลาด: การรับเข้า webhook "validation.gatekeeper.sh" ปฏิเสธคำขอ: [azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] ไม่อนุญาตให้ใช้คอนเทนเนอร์ยกระดับสิทธิ์: ทูต -ไซด์คาร์
[azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] ไม่อนุญาตให้ใช้คอนเทนเนอร์การเพิ่มสิทธิ์: กงสุล-sidecar
[azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da] ไม่อนุญาตให้ใช้คอนเทนเนอร์การเพิ่มระดับสิทธิ์: กงสุล-เชื่อมต่อ-inject-init
วิธีการทำงานของนโยบาย Azure สำหรับ Kubernetes คุณต้องประกาศอย่างชัดเจนสำหรับแต่ละคอนเทนเนอร์ อนุญาตการเลื่อนระดับสิทธิ์ ค่าถูกตั้งค่าเป็นเท็จ ไม่เพียงพอสำหรับคอนเทนเนอร์ที่ไม่ต้องการ ต้องตั้งค่านี้ในไฟล์ Manifest
ดังนั้น คุณต้องแก้ไขการปรับใช้คอนโซลเพื่อให้แน่ใจว่ามีการตั้งค่านี้ในพ็อด sidecarฉันไม่ค่อยคุ้นเคยกับ Consul แต่ถ้ามันถูกปรับใช้กับ Helm ให้ดูที่ตัวเลือกในไฟล์ค่าเพื่อดูว่าคุณสามารถตั้งค่านี้ได้หรือไม่
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
