新公司怎么做网站,专业网站建设工作室,站长交流平台,网页制作开发作者#xff1a;雅泽
securityContext是用来控制容器内的用户权限#xff0c;你想用什么用户去执行程序或者执行操作等等。
1. securityContext介绍
安全上下文#xff08;Security Context#xff09;定义 Pod 或 Container 的特权与访问控制设置。 安全上下文包括但不…作者雅泽
securityContext是用来控制容器内的用户权限你想用什么用户去执行程序或者执行操作等等。
1. securityContext介绍
安全上下文Security Context定义 Pod 或 Container 的特权与访问控制设置。 安全上下文包括但不限于
自主访问控制Discretionary Access Control基于 用户 IDUID和组 IDGID. 来判定对对象例如文件的访问权限。
安全性增强的 LinuxSELinux 为对象赋予安全性标签。
以特权模式或者非特权模式运行。
Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。
AppArmor使用程序框架来限制个别程序的权能。
Seccomp过滤进程的系统调用。
AllowPrivilegeEscalation控制进程是否可以获得超出其父进程的特权。 此布尔值直接控制是否为容器进程设置 no_new_privs标志。 当容器以特权模式运行或者具有 CAP_SYS_ADMIN 权能时AllowPrivilegeEscalation 总是为 true。
readOnlyRootFilesystem以只读方式加载容器的根文件系统。
2. 如何为Pod设置安全性上下文
要为 Pod 设置安全性设置可在 Pod 规约中包含 securityContext 字段。securityContext 字段值是一个 PodSecurityContext 对象。你为 Pod 所设置的安全性配置会应用到 Pod 中所有 Container 上。 下面是一个 Pod 的配置文件该 Pod 定义了 securityContext 和一个 emptyDir 卷。
apiVersion: v1
kind: Pod
metadata:name: security-context-demo
spec:securityContext:runAsUser: 1000runAsGroup: 3000fsGroup: 2000volumes:- name: sec-ctx-volemptyDir: {}containers:- name: sec-ctx-demoimage: busyboxcommand: [ sh, -c, sleep 1h ]volumeMounts:- name: sec-ctx-volmountPath: /data/demosecurityContext:allowPrivilegeEscalation: false3. 为Container设置安全性上下文
我们可以在pod层面和container层面设置上下文但是如果2个同时配置了那么container的级别要高于pod的级别也就是container会覆盖pod中的securityContext配置。
[rootVM-4-3-centos ~]# cat security-context-2.yaml
apiVersion: v1
kind: Pod
metadata:name: security-context-demo-2
spec:securityContext:runAsUser: 1000containers:- name: sec-ctx-demo-2image: empiregeneral/node-hello:1.0securityContext:runAsUser: 2000allowPrivilegeEscalation: false4. Pod的特权模式运行
Privileged-决定是否 Pod 中的某容器可以启用特权模式。 默认情况下容器是不可以访问宿主上的任何设备的不过一个“privileged特权的” 容器则被授权访问宿主上所有设备。 这种容器几乎享有宿主上运行的进程的所有访问权限。 对于需要使用 Linux 权能字如操控网络堆栈和访问设备的容器而言是有用的。 image: busybox:latestimagePullPolicy: Alwaysname: security-contextresources:limits:cpu: 500mmemory: 1Girequests:cpu: 250mmemory: 256MisecurityContext:privileged: trueterminationMessagePath: /dev/termination-logterminationMessagePolicy: File在上下文配置上这个字段后续pod就可以获取宿主机的访问权限了。
更多技术信息请查看云掣官网https://yunche.pro/?tyrgw
