Data: 25/11/21
Autores:
Conhecer e identificar uma forma segura para executar container em modo Root no cluster do Openshift 4.8 para novos projetos.
Ao criar novos projetos os mesmo sobem containers sem permissão em modo Root, é necessário encontrar uma forma segura para contornar esse problema pois no cenário atual não é viável para a manutenabilidade dos projetos da SETIC no novo Openshift.
Atualmente na ferramenta OKD 3.11 existe no cluster uma permissão para criação dos contêineres de todos os projetos em modo root, o mesmo não ocorre no Openshift 4.8 por questões de boas práticas e segurança.
A maneira de contornar isso no Openshift 4.8 é dando permissão em cada projeto individualmente, para que possamos controlar essas permissões e manter a segurança do cluster.
A ação tomada para dar a permissão consiste em acessar em modo admin oc cluster utilizando o token disponibilizado pela aplicação e executar o comando de politica dando permissão por projeto:
oc adm policy add-scc-to-user anyuid -z default -n «nome_do_projeto»
Mantendo a permissão para criação de containers em modo root nos projetos de forma individual, conseguimos analisar a necessidade de permissão a qual cada projeto precisa.
Desta forma o cluster do Openshift se mantém seguro.