【K8s】专题十四(2):Kubernetes 安全机制之 Security Context

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!


专栏订阅入口

| 精选文章 | Kubernetes | Docker | Linux | 羊毛资源 | 工具推荐 |


往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

【Linux】全面讲解 Shell 变量的那些事


目录

一、基本介绍

二、为 Pod 设置 Security Context

1、资源清单(示例)

2、配置示例说明

三、为 Container 设置 Security Context

 1、资源清单(示例)

2、配置示例说明


一、基本介绍

在 Kubernetes 中,Security Context(安全上下文)是一种重要的安全机制。

Security Context 通过定义 Pod 或 Pod 内容器的权限来控制容器的运行方式,从而限制不必要的访问、增强容器的安全性。

Security Context 包括但不限于以下配置字段:

  • AllowPrivilegeEscalation:用于控制进程是否可以获得比其父进程更多的权限
  • appArmorProfile:用于定义容器使用的 AppArmor 选项,限制单个程序的功能
  • capabilities:用于控制运行容器时要添加或删除的功能
  • privileged:用于控制容器是否以特权模式运行
  • procMount:用于定义容器的 proc 挂载的类型
  • readOnlyRootFilesystem:用于控制容器是否以只读方式挂载根文件系统
  • runAsGroup:用于定义运行容器进程入口点的 GID
  • runAsNonRoot:用于控制容器是否以非 root 用户身份运行
  • runAsUser:用于定义运行容器进程入口点的 UID
  • seLinuxOptions:用于定义容器的 SELinux 上下文,为对象分配安全标签
  • seccompProfile:用于定义容器使用的 Seccomp 选项,过滤进程的系统调用

官方文档:Configure a Security Context for a Pod or Container | Kubernetes

API 文档:SecurityContext v1 core | Kubernetes API Reference Docs


二、为 Pod 设置 Security Context
1、资源清单(示例)
apiVersion: v1
kind: Pod
metadata:name: demo-security-context
spec:containers:- name: demo1image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]containers:- name: demo2image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]volumeMounts:- name: datamountPath: /data/demovolumes:- name: dataemptyDir: {}securityContext:runAsUser: 1000runAsGroup: 3000fsGroup: 2000supplementalGroups: [4000]

2、配置示例说明
  • runAsUser 字段:对于 Pod 内任意容器,其所有进程的用户(user) ID 为 1000
    • 如果省略 runAsUser 字段,则容器的用户 ID 为 0(root)
  • runAsGroup 字段:对于 Pod 内任意容器,其所有进程的主组(primary group) ID 为 3000
    • 容器中创建的任何文件将归属于用户 1000 和组 3000
    • 如果省略 runAsGroup 字段,则容器的主组 ID 为 0(root)
  • fsGroup 字段:对于 Pod 内任意容器,其所有进程是补充组(supplementary group) ID 2000 的一部分
    • /data/demo 卷以及在该卷中创建的任何文件将归属于组 2000
  • supplementalGroups 字段:对于 Pod 内任意容器,其所有进程是指定组(specified group) ID 4000 的一部分
    • 如果省略 supplementalGroups 字段,则表示为空


三、为 Container 设置 Security Context
 1、资源清单(示例)
apiVersion: v1
kind: Pod
metadata:name: demo-security-context
spec:containers:- name: demo1image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]securityContext:privileged: true                        # 容器以特权模式运行capabilities:                           # 添加或删除功能add / drop:- SYS_TIME / SYS_PTRACE / SYS_ADMINallowPrivilegeEscalation: falsecontainers:- name: demo2image: busyboxcommand: [ "sh", "-c", "sleep 1h" ]volumeMounts:- name: datamountPath: /data/demovolumes:- name: dataemptyDir: {}

2、配置示例说明
  • Container Security Context 仅针对指定的 Container 生效
    • 示例中 demo1 容器配置的 Security Context 不会对 demo2 容器生效
  • Container Security Context 的优先级高于 Pod Security Context,Pod Security Context 下相同的配置会被覆盖 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/56967.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

rancher安装并快速部署k8s 管理集群工具

主机准备 准备4台主机 3台用于k8s集群 ,1台用于rancher 每台服务器新增配置文件 vi etc/sysctl.confnet.ipv4.ip_forward 1 刷新生效 sysctl –p 安装docker 安装的时候可以去github上检索rancher看看最新版本适配那个版本的docker,这里安装23.0.1…

centos升级g++使其支持c++17

centos升级g使其支持c17 升级g的原因现象原因 升级g方法更新镜像源yum升级g版本 总结 升级g的原因 现象 编译最新版本的jsoncpp报一下错误 jsontest.h:87:37: error: ‘hexfloat’ is not a member of ‘std’oss << std::setprecision(16) << std::hexfloat &l…

SQL注入笔记

SQL注入&#xff1a;一种常见的Web安全漏洞&#xff0c;形成的主要原因是web应用程序在接收相关数据参数时未做好过滤&#xff0c;将其直接带入到数据库中查询&#xff0c;导致攻击者可以拼接执行构造的SQL语句。 SQL注入的几个步骤&#xff1a; 1.寻找可能的注入点&#xff…

酸碱PH值与浓度关系

1. 硫酸百分比浓度是指溶液中硫酸的质量占溶液总质量的百分比。‌ 例如&#xff0c;如果100克溶液中含有98克的硫酸&#xff0c;那么硫酸的百分比浓度为98% 2. 1mol/L硫酸对应百分比浓度多少&#xff1f;答&#xff1a;硫酸的质量分数98&#xff0c;1mol/L硫酸98g/L9.8%的硫酸…

Vue2 和 Vue3 的区别

文章目录 Vue2 和 Vue3 的区别核心架构的变化核心变化&#xff1a; 组合式 API&#xff08;Composition API&#xff09;对比&#xff1a;示例&#xff1a; 性能提升响应式系统改进TypeScript 支持TypeScript 的对比&#xff1a; Fragment 支持编译优化Tree-shaking 与更轻的运…

Android activity 启动流程

Android activity 启动流程 本文主要记录下acitivty的启动流程. 1: Activity 我们都知道启动activity调用方法: startActivity(Intent intent)startActivity(Intent intent, Nullable Bundle options)startActivityForResult(RequiresPermission Intent intent, int reques…

RNN,LSTM,GRU的区别和联系? RNN的梯度消失问题?如何解决?

RNN&#xff0c;LSTM&#xff0c;GRU的区别和联系? RNN&#xff08;Recurrent Neural Network&#xff09;、LSTM&#xff08;Long Short-Term Memory&#xff09;和GRU&#xff08;Gated Recurrent Unit&#xff09;都是用于处理序列数据的神经网络模型&#xff0c;它们之间…

动态规划:17.简单多状态 dp 问题_买卖股票的最佳时机III_C++

题目链接&#xff1a; 一、题目解析 题目&#xff1a;123. 买卖股票的最佳时机 III - 力扣&#xff08;LeetCode&#xff09; 解析&#xff1a; 拿示例1举例&#xff1a; 我们可以如图所示买入卖出股票&#xff0c;以求得最大利润&#xff0c;并且交易次数不超过2次 拿示…

【mysql】ISNULL、NVL、IFNULL和COALESCE函数的使用方法

以下是 ISNULL、NVL、IFNULL 和 COALESCE 函数的详细使用方法&#xff1a; 1. ISNULL SQL Server 和 Sybase 使用 ISNULL 函数来处理空值。 语法&#xff1a; ISNULL(expression, replacement_value)参数&#xff1a; expression&#xff1a;要检查的表达式。replacement_…

二百六十九、Kettle——ClickHouse清洗ODS层原始数据增量导入到DWD层表中

一、目的 清洗ClickHouse的ODS层原始数据&#xff0c;增量导入到DWD层表中 二、实施步骤 2.1 newtime select( select create_time from hurys_jw.dwd_statistics order by create_time desc limit 1) as create_time 2.2 替换NULL值 2.3 clickhouse输入 2.4 字段选择 2.5 …

Git的原理和使用(三)

1. 分支管理 1.1 合并模式 1.1.1 fast forward模式 git log --graph --abbrev-commit 1.1.2 no-ff模式 合并出现问题后需要进行手动修改&#xff1a; 如下图所示&#xff1a; 1.1.3 不使用no-ff模式 git merge --no-ff -m "merge dev2" dev2 1.2 分⽀策略 在实际开…

微服务发布

微服务架构下的灰度发布、蓝绿发布和滚动发布 灰度发布(又名金丝雀发布) 不停机旧版本&#xff0c;部署新版本&#xff0c;低比例流量(例如:5%)切换到新版本&#xff0c;高比例流量(例如:95%)仍走旧版本。通过监控观察确认无问题&#xff0c;逐步扩大范围&#xff0c;慢慢的把所…

多IP访问多网段实验

文章目录 多IP访问多网段实验 多IP访问多网段实验 在当前主机配置多个IP地址&#xff0c;实现多IP访问多网段&#xff0c;记录所有命令及含义 1&#xff0c;环境搭建&#xff1a; [rootlocalhost ~]# mount /dev/sr1 /mnt # 设置ISO虚拟镜像文件文件挂载点&#xff0c;将…

数据分析和可视化python库orange简单使用方法

Orange 是一个基于 Python 的数据挖掘和机器学习库&#xff0c;它提供了一系列可视化工具和算法&#xff0c;用于数据分析、机器学习和数据可视化等任务。 一、主要特点 可视化界面&#xff1a;Orange 提供了直观的可视化界面&#xff0c;使得用户可以通过拖放操作构建数据分…

【python爬虫实战】爬取全年天气数据并做数据可视化分析!附源码

由于篇幅限制&#xff0c;无法展示完整代码&#xff0c;需要的朋友可在下方获取&#xff01;100%免费。 一、主题式网络爬虫设计方案 1. 主题式网络爬虫名称&#xff1a;天气预报爬取数据与可视化数据 2. 主题式网络爬虫爬取的内容与数据特征分析&#xff1a; - 爬取内容&am…

算法(四)前缀和

前缀和也是一个重要的算法&#xff0c;一般用来快速求静态数组的某一连续区间内所有数的和&#xff0c;效率很高&#xff0c;但不支持修改操作。分为一维前缀和、二维前缀和。 重要的前言&#xff01; 不要死记模板&#xff0c;具体题目可能是前缀和、前缀乘积、后缀和、后缀乘…

uniapp scroll-view翻转90度后,无法滚动问题,并设置滚动条到最底部(手写横屏样式)

uniapp scroll-view翻转90度后&#xff0c;无法滚动问题&#xff0c;并设置滚动条到最底部 <template><view class"main"><view style"height: 200px;"></view><view class"btn-main"><view class"send-…

二、Linux 入门教程:开启大数据领域的神奇之旅

Linux 入门教程&#xff1a;开启大数据领域的神奇之旅 在当今这个飞速发展的数字化时代&#xff0c;大数据所具有的重要性正日益凸显出来。而 Linux 作为一种极为强大的操作系统&#xff0c;在大数据这一广阔的领域当中发挥着至关重要、不可或缺的关键作用。倘若你怀有涉足大数…

已解决:ModuleNotFoundError: No module named ‘pip‘

[已解决] ModuleNotFoundError: No module named ‘pip‘ 文章目录 写在前面问题描述报错原因分析 解决思路解决办法1. 手动安装或升级 pip2. 使用 get-pip.py 脚本3. 检查环境变量配置4. 重新安装 Python 并确保添加到 PATH5. 在虚拟环境中安装 pip6. 使用 conda 安装 pip&…

无人机电机故障率骤降:创新设计与六西格玛方法论双赢

项目背景 TBR-100是消费级无人机头部企业推出的主打消费级无人机&#xff0c;凭借其出色的续航能力和卓越的操控性&#xff0c;在市场上获得了广泛认可。在产品运行过程&#xff0c;用户反馈电机故障率偏高&#xff0c;尤其是在飞行一段时间后出现电机过热、损坏以及运行不稳定…