Pod 的安全管理

在生产环境中,往往需要对 Pod 的安全性进行设置,例如 Pod 中的容器使用的用户 ID、是否允许运行具有特权模式的容器等等,因此 Kubernetes 针对 Pod 的安全相关的配置提供了两层管理:

  1. 用户方面:用户在使用 Pod 时,可以通过 Pod 的 安全上下文 进行 Pod 的安全相关的配置,即在 Pod 的定义中 pod.spec.securityContextpod.spec.containers.securityContext 进行相关配置;

  2. 集群管理员方面:由于用户可能会由于不了解相关特性或忘记进行相关配置,因此集群管理员可以通过为对应用户指定 PodSecurityPolicy 资源,限制其可配置的安全上下文特性或为 Pod 配置默认的安全上下文特性;

除了上述的安全控制外,Kubernetes 还提供了 NetworkPolicy 资源用来限制 Pod 的网络数据,包括访问目标 Pod 的以及出自 Pod 的流量,类似于 OpenStack 中的安全组。

通过以上三个方面的配置,可以最大限度的保护 Pod 的安全。

Previous共享宿主机命名空间Next安全上下文

Last updated

Was this helpful?