cks

3.18 Root filesystem read-only (imutabilidade)

Detalhamento de filesystem read-only em containers para o CKS.

O que é

readOnlyRootFilesystem: true no securityContext do container faz com que o filesystem raiz do container seja somente leitura. Isso reduz a superfície de ataque (impede que malware ou um processo comprometido escreva em /, /usr, etc.). Muitas aplicações precisam escrever em diretórios como /tmp ou /var; para isso montamos volumes (ex.: emptyDir) nesses paths.

Documentação oficial

• Configure a Security Context for a Pod or Container
• Security Contexts

Configuração no Pod/Container

spec:
  containers:
  - name: app
    image: myimage
    securityContext:
      readOnlyRootFilesystem: true
    volumeMounts:
    - name: tmp
      mountPath: /tmp
    - name: cache
      mountPath: /var/cache
  volumes:
  - name: tmp
    emptyDir: {}
  - name: cache
    emptyDir: {}

• securityContext.readOnlyRootFilesystem: true: raiz do container somente leitura.
• volumeMounts: montar /tmp, /var, ou outros diretórios onde a aplicação precisa escrever.
• volumes: usar emptyDir: {} para diretórios voláteis como /tmp.

Pontos comuns de escrita

• /tmp — arquivos temporários.
• /var/run, /var/cache, /var/log — conforme a aplicação.
• /home — se a app escreve em home.

Cada um pode ser um volume (emptyDir ou outro tipo) montado no mesmo path.

Resumo para o exame

• No container: securityContext.readOnlyRootFilesystem: true.
• Para diretórios que precisam de escrita: volumeMounts (ex.: /tmp) + volumes com emptyDir: {}.