Kubernetes Windows节点的安全性
Windows 节点的安全性
本页介绍特定于 Windows 操作系统的安全注意事项和最佳实践。
保护节点上的机密数据
在 Windows 上,来自 Secrets 的数据以明文形式写入节点的本地存储(与在 Linux 上使用 tmpfs / in-memory 文件系统相比)。 作为集群运营商,您应该采取以下两项额外措施:
- 使用文件 ACL 来保护 Secrets 的文件位置。
- 使用 BitLocker 应用卷级加密。
容器用户
可以为 Windows Pod 或容器指定 RunAsUsername 以作为特定用户执行容器进程。 这大致相当于 RunAsUser。
Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。 Microsoft 的安全 Windows 容器文档中的何时使用 ContainerAdmin 和 ContainerUser 用户帐户中介绍了这两个用户帐户之间的区别。
本地用户可以在容器构建过程中添加到容器镜像中。
Note:
- 基于 Nano Server 的图像默认以
ContainerUser
身份运行- 基于 Server Core 的镜像默认作为
ContainerAdministrator
运行
Windows 容器还可以通过使用组托管服务帐户作为 Active Directory 身份运行
Pod 级别的安全隔离
Windows 节点不支持 Linux 特定的 pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)。
Windows 不支持特权容器。 相反,可以在 Windows 上使用 HostProcess 容器来执行许多由特权容器在 Linux 上执行的任务。
更多建议: