下内容均来自个人笔记并重新梳理,如有错误欢迎指正!
如果对您有帮助,烦请点赞、关注、转发!如果您有其他想要了解的,欢迎私信联系我~
基本介绍
AllowPrivilegeEscalation:用于控制进程是否可以获得比其父进程更多的权限
appArmorProfile:用于定义容器使用的 AppArmor 选项,限制单个程序的功能
capabilities:用于控制运行容器时要添加或删除的功能
privileged:用于控制容器是否以特权模式运行
procMount:用于定义容器的 proc 挂载的类型
readOnlyRootFilesystem:用于控制容器是否以只读方式挂载根文件系统
runAsGroup:用于定义运行容器进程入口点的 GID
runAsNonRoot:用于控制容器是否以非 root 用户身份运行
runAsUser:用于定义运行容器进程入口点的 UID
seLinuxOptions:用于定义容器的 SELinux 上下文,为对象分配安全标签
seccompProfile:用于定义容器使用的 Seccomp 选项,过滤进程的系统调用
官方文档:https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
API文档:https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.31/#securitycontext-v1-core
为 Pod 设置 Security Context
apiVersion: v1
kind: Pod
metadata:
name: demo-security-context
spec:
containers:
name: demo1
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
containers:
name: demo2
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
volumeMounts:
name: data
mountPath: /data/demo
volumes:
name: data
emptyDir: {}
securityContext:
runAsUser: 1000
runAsGroup: 3000
fsGroup: 2000
supplementalGroups: [4000]
runAsUser 字段:对于 Pod 内任意容器,其所有进程的用户(user) ID 为 1000 如果省略 runAsUser 字段,则容器的用户 ID 为 0(root) runAsGroup 字段:对于 Pod 内任意容器,其所有进程的主组(primary group) ID 为 3000 容器中创建的任何文件将归属于用户 1000 和组 3000 如果省略 runAsGroup 字段,则容器的主组 ID 为 0(root) fsGroup 字段:对于 Pod 内任意容器,其所有进程是补充组(supplementary group) ID 2000 的一部分 /data/demo 卷以及在该卷中创建的任何文件将归属于组 2000 supplementalGroups 字段:对于 Pod 内任意容器,其所有进程是指定组(specified group) ID 4000 的一部分 如果省略 supplementalGroups 字段,则表示为空
为 Container 设置 Security Context
apiVersion: v1
kind: Pod
metadata:
name: demo-security-context
spec:
containers:
name: demo1
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
securityContext:
privileged: true # 容器以特权模式运行
capabilities: # 添加或删除功能
add / drop:
SYS_TIME / SYS_PTRACE / SYS_ADMIN
allowPrivilegeEscalation: false
containers:
name: demo2
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
volumeMounts:
name: data
mountPath: /data/demo
volumes:
name: data
emptyDir: {}
Container Security Context 仅针对指定的 Container 生效
示例中 demo1 容器配置的 Security Context 不会对 demo2 容器生效
Container Security Context 的优先级高于 Pod Security Context,Pod Security Context 下相同的配置会被覆盖
书籍推荐
最后推荐一本笔者从 Docker 进阶到 Kubernetes 自学过程中,受益较深的书籍。笔者经常复读,并结合工作实践不断加深理解和体会,可谓常读常新。希望这本书可以帮助到更多对 Kubernetes 感兴趣或刚开始学习的读者。