本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!
如果对您有帮助,烦请点赞、关注、转发、订阅专栏!
专栏订阅入口
| 精选文章 | Kubernetes | Docker | Linux | 羊毛资源 | 工具推荐 |
往期精彩文章
【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法
【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)
【Linux】全面讲解 Shell 变量的那些事
目录
一、基本介绍
二、为 Pod 设置 Security Context
1、资源清单(示例)
2、配置示例说明
三、为 Container 设置 Security Context
1、资源清单(示例)
2、配置示例说明
一、基本介绍
在 Kubernetes 中,Security Context(安全上下文)是一种重要的安全机制。
Security Context 通过定义 Pod 或 Pod 内容器的权限来控制容器的运行方式,从而限制不必要的访问、增强容器的安全性。
Security Context 包括但不限于以下配置字段:
- AllowPrivilegeEscalation:用于控制进程是否可以获得比其父进程更多的权限
- appArmorProfile:用于定义容器使用的 AppArmor 选项,限制单个程序的功能
- capabilities:用于控制运行容器时要添加或删除的功能
- privileged:用于控制容器是否以特权模式运行
- procMount:用于定义容器的 proc 挂载的类型
- readOnlyRootFilesystem:用于控制容器是否以只读方式挂载根文件系统
- runAsGroup:用于定义运行容器进程入口点的 GID
- runAsNonRoot:用于控制容器是否以非 root 用户身份运行
- runAsUser:用于定义运行容器进程入口点的 UID
- seLinuxOptions:用于定义容器的 SELinux 上下文,为对象分配安全标签
- seccompProfile:用于定义容器使用的 Seccomp 选项,过滤进程的系统调用
官方文档:Configure a Security Context for a Pod or Container | Kubernetes
API 文档:SecurityContext v1 core | Kubernetes API Reference Docs
二、为 Pod 设置 Security Context
1、资源清单(示例)
apiVersion: v1
kind: Pod
metadata:name: demo-security-context
spec:containers:- name: demo1image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]containers:- name: demo2image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]volumeMounts:- name: datamountPath: /data/demovolumes:- name: dataemptyDir: {}securityContext:runAsUser: 1000runAsGroup: 3000fsGroup: 2000supplementalGroups: [4000]2、配置示例说明
runAsUser字段:对于 Pod 内任意容器,其所有进程的用户(user) ID 为 1000- 如果省略
runAsUser字段,则容器的用户 ID 为 0(root)
- 如果省略
runAsGroup字段:对于 Pod 内任意容器,其所有进程的主组(primary group) ID 为 3000- 容器中创建的任何文件将归属于用户 1000 和组 3000
- 如果省略
runAsGroup字段,则容器的主组 ID 为 0(root)
fsGroup字段:对于 Pod 内任意容器,其所有进程是补充组(supplementary group) ID 2000 的一部分/data/demo卷以及在该卷中创建的任何文件将归属于组 2000
supplementalGroups字段:对于 Pod 内任意容器,其所有进程是指定组(specified group) ID 4000 的一部分- 如果省略
supplementalGroups字段,则表示为空
- 如果省略
三、为 Container 设置 Security Context
1、资源清单(示例)
apiVersion: v1
kind: Pod
metadata:name: demo-security-context
spec:containers:- name: demo1image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]securityContext:privileged: true # 容器以特权模式运行capabilities: # 添加或删除功能add / drop:- SYS_TIME / SYS_PTRACE / SYS_ADMINallowPrivilegeEscalation: falsecontainers:- name: demo2image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]volumeMounts:- name: datamountPath: /data/demovolumes:- name: dataemptyDir: {}2、配置示例说明
- Container Security Context 仅针对指定的 Container 生效
- 示例中 demo1 容器配置的 Security Context 不会对 demo2 容器生效
- Container Security Context 的优先级高于 Pod Security Context,Pod Security Context 下相同的配置会被覆盖
