Kubernetes Windows节点的安全性

2022-05-23 11:21 更新

Windows 节点的安全性

本页介绍特定于 Windows 操作系统的安全注意事项和最佳实践。

保护节点上的机密数据

在 Windows 上,来自 Secrets 的数据以明文形式写入节点的本地存储(与在 Linux 上使用 tmpfs / in-memory 文件系统相比)。 作为集群运营商,您应该采取以下两项额外措施:

  1. 使用文件 ACL 来保护 Secrets 的文件位置。
  2. 使用 BitLocker 应用卷级加密。

容器用户

可以为 Windows Pod 或容器指定 RunAsUsername 以作为特定用户执行容器进程。 这大致相当于 RunAsUser。

Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。 Microsoft 的安全 Windows 容器文档中的何时使用 ContainerAdmin 和 ContainerUser 用户帐户中介绍了这两个用户帐户之间的区别。

本地用户可以在容器构建过程中添加到容器镜像中。

Note:
  • 基于 Nano Server 的图像默认以 ​ContainerUser ​身份运行
  • 基于 Server Core 的镜像默认作为 ​ContainerAdministrator ​运行

Windows 容器还可以通过使用组托管服务帐户作为 Active Directory 身份运行

Pod 级别的安全隔离

Windows 节点不支持 Linux 特定的 pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)。

Windows 不支持特权容器。 相反,可以在 Windows 上使用 HostProcess 容器来执行许多由特权容器在 Linux 上执行的任务。


以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号