k8s在创建和管理Pod时,可以设置一些安全限制。它包括以下几个方面:
1.自主访问控制(DAC):每个容器都有一个默认的用户 ID,可以通过 PodSecurityContext 或 SecurityContext 来修改它。通过限制各个容器使用不同的用户 ID 或组 ID,可以减小容器之间的攻击面。
2.Linux功能:将内核管理权限分为多个子集授权,例如CAP_NET_ADMIN、CAP_SYS_TIME等,从而运行容器仅具有一部分内核功能来管理任务。
3.SELinux 或 AppArmor:Kubernetes 支持使用 SELinux 或 AppArmor 安全模块来限制容器访问系统资源.
4.特权模式容器:让容器拥有root用户所有的内核功能。