5.10.3 - 考慮使用 GKE Sandbox 執行不受信任的工作負載（自動化）

影響

• 加速器如 GPU 或 TPU
• Istio
• 在 Pod 或容器層級監控統計數據
• Hostpath 存儲
• 每個容器的 PID 命名空間
• CPU 和記憶體限制僅適用於保證型 Pods 和可突發型 Pods，且僅在 Pod 中所有容器都指定了 CPU 和記憶體限制時才會生效
• 使用指定主機命名空間的 PodSecurityPolicies 的 Pods，例如 hostNetwork、hostPID 或 hostIPC
• 使用 PodSecurityPolicy 設定（例如特權模式）的 Pods
• 磁碟裝置
• 埠轉發
• Linux 核心安全模組，例如 Seccomp、Apparmor 或 Selinux Sysctl、NoNewPrivileges、雙向 MountPropagation、FSGroup 或 ProcMount

稽核

1. 前往 Kubernetes Engine，請造訪：Google Cloud Console Kubernetes Engine 頁面。
2. 點擊每個叢集，並點擊任何非預設配置的節點池。
3. 在節點池詳細資訊頁面中，於安全性標題下，檢查 Sandbox with gVisor 是否已設為已啟動。

gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME -- 
location $LOCATION --project $PROJECT_ID --format json | jq '.config.sandboxConfig' 

{ "sandboxType":"gvisor" }

補救

1. 前往 Kubernetes Engine，請造訪：Google Cloud 文件。
2. 選擇叢集並點擊新增節點池。
3. 使用以下設定配置節點池： o 對於節點版本，選擇 v1.12.6-gke.8 或更高版本。 o 對於節點映像，選擇 Container-Optimized OS with Containerd (cos_containerd)（預設）。 o 在安全性下，選擇啟用沙盒，使用 gVisor。
4. 請視需要進行其他節點池設定。
5. 點擊儲存。

gcloud container node-pools create <node_pool_name> --location <location> - -cluster <cluster_name> --image-type=cos_containerd --sandbox="type=gvisor"

其他資訊