首页
技术小册
AIGC
面试刷题
技术文章
MAGENTO
云计算
视频课程
源码下载
PDF书籍
「涨薪秘籍」
登录
注册
Kubernetes卷
Kubernetes持久卷
Kubernetes临时卷
Kubernetes存储类
Kubernetes卷快照
Kubernetes卷快照类
Kubernetes动态卷制备
Kubernetes中的CSI 卷克隆
Kubernetes存储容量
Kubernetes中的Windows 存储
Kubernetes卷健康监测
Kubernetes卷数限制
Kubernetes配置最佳实践
Kubernetes中的ConfigMap
Kubernetes中的Secret
Kubernetes为Pod和容器管理资源
Kubernetes使用 kubeconfig
Kubernetes中的Windows节点的资源管理
Kubernetes云原生安全概述
Kubernetes中的Pod安全性标准
Kubernetes中的Pod安全性准入
Kubernetes中的Pod安全策略
Kubernetes中的Windows节点的安全性
Kubernetes API 访问控制
Kubernetes基于角色的访问控制
当前位置:
首页>>
技术小册>>
Kubernetes中文教程(三)
小册名称:Kubernetes中文教程(三)
本篇介绍特定于 Windows 操作系统的安全注意事项和最佳实践。 ## 保护节点上的 Secret 数据 在 Windows 上,来自 Secret 的数据以明文形式写入节点的本地存储 (与在 Linux 上使用 tmpfs / 内存中文件系统不同)。 作为集群操作员,你应该采取以下两项额外措施: 1. 使用文件 ACL 来保护 Secret 的文件位置。 2. 使用 [BitLocker] 进行卷级加密。 ## 容器用户 可以为 Windows Pod 或容器指定 [RunAsUsername] 以作为特定用户执行容器进程。这大致相当于 [RunAsUser]。 Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。 在微软的 **Windows 容器安全** 文档 [何时使用 ContainerAdmin 和 ContainerUser 用户帐户] 中介绍了这两个用户帐户之间的区别。 在容器构建过程中,可以将本地用户添加到容器镜像中。 * 基于 [Nano Server] 的镜像默认以 `ContainerUser` 运行 * 基于 [Server Core] 的镜像默认以 `ContainerAdministrator` 运行 Windows 容器还可以通过使用[组管理的服务账号]作为 Active Directory 身份运行。 ## Pod 级安全隔离 Windows 节点不支持特定于 Linux 的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 权能字)。 Windows 上[不支持]特权容器。 然而,可以在 Windows 上使用 [HostProcess 容器]来执行 Linux 上特权容器执行的许多任务。
上一篇:
Kubernetes中的Pod安全策略
下一篇:
Kubernetes API 访问控制
该分类下的相关小册推荐:
Kubernetes中文教程(四)
Kubernets合辑8-权限控制
Kubernets合辑4-kubernetes入门
Kubernetes合辑1-安装Kubernetes
Kubernetes中文教程(六)
Kubernetes中文教程(五)
Kubernets合辑13-集群监控
Kubernets合辑9-资源约束
Kubernets合辑3-kubernetes介绍
Kubernets合辑11-持续集成
Kubernets合辑6-服务发现
Kubernetes中文教程(二)
