k8s安全上下文概述

安全上下文(security context)定义Pod或容器的特权和访问控制设置。安全上下文设置包括但不限于:

  • 自由访问控制: 基于UID、GID文件/目录访问权限控制
  • 安全增强的Linux (SELinux): 给对象分配安全标签
  • 以特权或非特权的方式运行
  • Linux Capabilities: 赋予进程一些特权,而不是根用户的所有特权
  • AppArmor: 使用程序配置文件来限制单个程序的权限
  • Seccomp: 过滤程序系统调用
  • AllowPrivilegeEscalation(允许提权): 控制进程是否可以获得比其父进程更多的特权。该bool值直接控制是否在容器进程上设置no_new_privs标志。 AllowPrivilegeEscalation总是在容器以特权身份运行或具有CAP_SYS_ADMIN时为真
  • 只读根文件系统: 将容器的根文件系统挂载为只读

完整的安全上下文配置参考SecurityContext

关于Linux中的安全机制的更多信息,参考overview-linux-kernel-security-features

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:41

results matching ""

    No results matching ""