kubernetesr进阶--Security Context之Security Context概述

提起 Security Context ,估计大家都很陌生,那么现在让我带大家走进 Security Context的世界。

Security Context(安全上下文)用来限制容器对宿主节点的可访问范围,以避免容器非法操作宿主节点的系统级别的内容,使得节点的系统或者节点上其他容器组受到影响。

Security Context可以按照如下几种方式设定:

  • 访问权限控制:是否可以访问某个对象(例如文件)是基于 userID(UID)和 groupID(GID) (opens new window)的
  • Security Enhanced Linux (SELinux) (opens new window):为对象分配Security标签
  • 以 privileged(特权)模式运行
  • Linux Capabilities (opens new window):为容器组(或容器)分配一部分特权,而不是 root 用户的所有特权
  • AppArmor (opens new window):自 Kubernetes v1.4 以来,一直处于 beta 状态
  • Seccomp (opens new window):过滤容器中进程的系统调用(system call)
  • AllowPrivilegeEscalation(允许特权扩大):此项配置是一个布尔值,定义了一个进程是否可以比其父进程获得更多的特权,直接效果是,容器的进程上是否被设置 no_new_privs (opens new window)标记。当出现如下情况时,AllowPrivilegeEscalation 的值始终为 true:
    • 容器以 privileged 模式运行
    • 容器拥有 CAP_SYS_ADMIN 的 Linux Capability

如需要了解更多关于 Linux 安全机制方面的信息,请参考 Overview Of Linux Kernel Security Features

你可能感兴趣的:(kubernetes学习笔记,#,k8s)