Security Context

SecurityContext 是为了限制不可信容器的行为，保护系统和其它的容器不受影响

SecurityContext 有三种配置方式

Container-level Security Context：仅应用到指定的容器
Pod-level Security Context: 应用到 Pod 内所有窗口以及 Volumn
Pod Security Policies (PSP)：应用到集群内部所有的 Pod 以及 Volumn

例子

Pod-level

pods/security/security-context.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: busybox
    command: [ "sh", "-c", "sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

容器里是非 root 用户运行 id uid=1000 gid=3000 groups=2000

Container-level

pods/security/security-context-2.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-2
spec:
  securityContext:
    runAsUser: 1000
  containers:
  - name: sec-ctx-demo-2
    image: gcr.io/google-samples/node-hello:1.0
    securityContext:
      runAsUser: 2000
      allowPrivilegeEscalation: false

容器里是非 root 用户运行 id uid=2000 gid=0(root) groups=0(root)

Linux capabilities 可以继承部分权限

为了执行权限检查，传统UNIX 实现区分了两类流程:特权流程进程(其有效用户ID为0，称为超级用户或和非特权进程(其有效UID非零)。同时，特权进程绕过所有内核权限检查非特权进程必须基于完全权限检查进程的凭据(通常为:有效UID、有效GID、及补充团体名单)。
从内核2.2开始，Linux传统上划分特权将超级用户关联到不同的单位，称为功能，可以独立启用和禁用。能力是一个线程属性。

pods/security/security-context-4.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-4
spec:
  containers:
  - name: sec-ctx-4
    image: gcr.io/google-samples/node-hello:1.0
    securityContext:
      capabilities:
        add: ["NET_ADMIN", "SYS_TIME"]

参考链接(https://kubernetes.io/docs/tasks/configure-pod-container/security-context/)

PreviousPV PVC Storage Class Next优雅热更新

Last updated 5 years ago

Was this helpful?

例子

Pod-level

pods/security/security-context.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: busybox
    command: [ "sh", "-c", "sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

容器里是非 root 用户运行 id uid=1000 gid=3000 groups=2000

Container-level

pods/security/security-context-2.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-2
spec:
  securityContext:
    runAsUser: 1000
  containers:
  - name: sec-ctx-demo-2
    image: gcr.io/google-samples/node-hello:1.0
    securityContext:
      runAsUser: 2000
      allowPrivilegeEscalation: false

容器里是非 root 用户运行 id uid=2000 gid=0(root) groups=0(root)

Linux capabilities 可以继承部分权限

为了执行权限检查，传统UNIX 实现区分了两类流程:特权流程进程(其有效用户ID为0，称为超级用户或和非特权进程(其有效UID非零)。同时，特权进程绕过所有内核权限检查非特权进程必须基于完全权限检查进程的凭据(通常为:有效UID、有效GID、及补充团体名单)。

从内核2.2开始，Linux传统上划分特权将超级用户关联到不同的单位，称为功能，可以独立启用和禁用。能力是一个线程属性。

pods/security/security-context-4.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-4
spec:
  containers:
  - name: sec-ctx-4
    image: gcr.io/google-samples/node-hello:1.0
    securityContext:
      capabilities:
        add: ["NET_ADMIN", "SYS_TIME"]