Copyright © 1998-2023 maxiaoke.com All rights reserved.

当前位置:  首页>> 技术小册>> Kubernetes中文教程(三)

小册名称:Kubernetes中文教程(三)

本篇介绍特定于 Windows 操作系统的安全注意事项和最佳实践。

保护节点上的 Secret 数据

在 Windows 上,来自 Secret 的数据以明文形式写入节点的本地存储
(与在 Linux 上使用 tmpfs / 内存中文件系统不同)。
作为集群操作员,你应该采取以下两项额外措施:

  1. 使用文件 ACL 来保护 Secret 的文件位置。
  2. 使用 [BitLocker]
    进行卷级加密。

容器用户

可以为 Windows Pod 或容器指定 [RunAsUsername]
以作为特定用户执行容器进程。这大致相当于 [RunAsUser]。

Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。
在微软的 Windows 容器安全 文档
[何时使用 ContainerAdmin 和 ContainerUser 用户帐户]
中介绍了这两个用户帐户之间的区别。

在容器构建过程中,可以将本地用户添加到容器镜像中。

  • 基于 [Nano Server] 的镜像默认以 ContainerUser 运行
  • 基于 [Server Core] 的镜像默认以 ContainerAdministrator 运行

Windows 容器还可以通过使用[组管理的服务账号]作为
Active Directory 身份运行。

Pod 级安全隔离

Windows 节点不支持特定于 Linux 的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 权能字)。

Windows 上[不支持]特权容器。
然而,可以在 Windows 上使用 [HostProcess 容器]来执行
Linux 上特权容器执行的许多任务。

该分类下的相关小册推荐:

Kubernetes中文教程(一)
Kubernetes中文教程(一)
Kubernets合辑11-持续集成
Kubernets合辑11-持续集成
Kubernets合辑9-资源约束
Kubernets合辑9-资源约束
Kubernets合辑12-配置中心
Kubernets合辑12-配置中心
Kubernetes合辑1-安装Kubernetes
Kubernetes合辑1-安装Kubernetes
Kubernets合辑2-部署Ingress
Kubernets合辑2-部署Ingress
Kubernets合辑8-权限控制
Kubernets合辑8-权限控制
Kubernets合辑15-持续部署
Kubernets合辑15-持续部署
Kubernets合辑10-网络
Kubernets合辑10-网络
Kubernets合辑5-Pod控制器
Kubernets合辑5-Pod控制器
云原生-K8S入门实战
云原生-K8S入门实战
Kubernets合辑3-kubernetes介绍
Kubernets合辑3-kubernetes介绍