kubernetes 提供了三种配置安全上下文级别的方法:
Container-level Security Context:应用到指定的容器
Pod-level Security Context:应用到 Pod 内所有容器和 Volume
Pod Security Policies (PSP):应用到集群内部所有 Pod 以及 Volume
pod.spec.securityContext 字段设置:
字段名 详细说明
runAsNonRoot 是否在运行容器前执行检查,以确保容器不以root用户运行(UID为0)
runAsUser 运行容器entrypoint进程的UID,默认为Dockerfile中User指定的用户
runAsGroup 运行容器entrypoint进程的GID,默认为容器引擎的GID
fsGroup 数据卷GID控制,多个不同的容器操作同一份数据卷时,保存GID统一
supplementalGroups 运行容器时的GID之外的附加组
seLinuxOptions 它设定的SELinux上下文将被应用到Pod中的所有容器。如果不指定,容器引擎将随机分配一个
sysctls 将给定的sysctls应用到Pod容器中
seccompProfile 限制系统调用
pod.spec.containers.securityContext 字段设置:
字段名 详细说明
runAsNonRoot 同pod中的设置,同时存在时,以容器为准
runAsUser 同pod中的设置,同时存在时,以容器为准
runAsGroup 同pod中的设置,同时存在时,以容器为准
seLinuxOptions 同pod中的设置,同时存在时,以容器为准
capabilities 给某个特定的进行超级权限,而不用给root用户所有的 privileged 权限
allowPrivilegeEscalation 定义了一个进程是否可以比其父进程获得更多的特权
privileged 以特权模式运行
seccompProfile 限制系统调用
————————————————
版权声明:本文为CSDN博主「elihe2011」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/elihe2011/article/details/122167167