k8s fsGroup

原创 已于 2025-05-29 20:17:37 修改 · 655 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#k8s

于 2025-05-29 20:16:56 首次发布

fsGroup 是 Kubernetes 中 securityContext 的一个字段,用于为 Pod 中的所有容器设置共享的文件系统组 ID(GID)。当你在 Pod 的 securityContext 中设置了 fsGroup,Kubernetes 会对挂载到 Pod 的 所有 volume(卷)中的文件和目录 设置该 GID,从而实现 容器中运行的进程可以以该组身份访问这些文件

示例解释

securityContext:
  fsGroup: 472

这表示容器运行时,挂载进来的所有卷,其文件的属组(group ownership)会被设置为 GID 为 472 的组。同时,容器内的进程将以该组身份访问这些文件。

作用与场景

  • 共享访问权限:容器内多个进程可能需要以相同的组身份访问文件系统,比如日志目录或数据库文件。

  • 兼容已有数据卷的权限需求:如某些第三方镜像(例如 PostgreSQL、Prometheus、Grafana 等)要求特定的 GID 才能访问挂载卷的数据。

  • 解决权限报错问题:挂载的卷默认属主可能与容器内运行的用户不一致,使用 fsGroup 可以避免 Permission denied 的问题。

具体行为

  • 对于支持的 volume 类型(如 emptyDir、hostPath、PVC 等),Kubernetes 会在挂载时将其中的文件属组改为指定的 fsGroup

  • 该组权限通常包括读写权限(取决于文件权限位设置),例如:

    • rw-r----- 对应属主可读写,属组可读,其他无权限。

  • 在容器中,如果运行的用户不是 root,但其 GID 是 fsGroup,也能访问这些文件。

注意事项

  • fsGroup 不影响容器内以 root 身份运行的进程,它主要是为非 root 用户配置组访问权限。

  • 某些卷插件(如 CSI 驱动)可能对 fsGroup 的支持不完整。

  • 如果启用了 FSGroupChangePolicy: OnRootMismatch,则只有当挂载点的根目录属组不为 fsGroup 时才会更改。

总结

字段功能简述
fsGroup设置卷中文件的组 ID,使容器内用户有组访问权限

设置fsGroup: 472,意味着挂载卷的文件都会设为 GID=472,通常是为了兼容容器中运行程序对文件权限的要求。

你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 2132
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
K8s: 运行Pod时的root用户和非root用户的安全相关配置
Wang的专栏
04-19 3781
docker 容器运行起来,默认是 root 用户 这样运行起来后,基本不会遇到权限相关问题 带来的问题是: 权限过大,被攻击后会遇到严峻挑战 基于这个问题,K8s提出了特权用户的概念 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息 是会报错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改
k8s系列 之 容器安全pod安全 集群安全
yuezhilangniao的博客
09-13 1638
原文:https://blog.youkuaiyun.com/bloodzero_new/article/details/110328113 一 容器本身安全 Docker Security Capability: AppArmor: AppArmor(应用程序防护)是一种Linux安全模块,可保护操作系统及其应用程序免受安全威胁; SELinux: SELinux是一个应用程序安全系统,它提供了一个访问控制系统,大大增强了自由访问控制模型; Seccomp: Seccomp是一种Linux内核功能,可用于限制容器中可
PullToRefreshListView的简单使用
孤云博客
06-17 3181
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 在前面介绍过XListView的使用,这里介绍一个类似的列表控件:PullToRefreshListView,它来自开源项目PullToRefresh,里面还有一些其他控件,使用非常方便,直接上源码: MainA...
构建k8s集群
qq_39128254的博客
08-14 248
前期准备
Ceph 对 K8s 说,我们(三):K8S通过Cephfs使用Ceph集群
Yannick Jiang 的专栏
07-04 4621
转载:k8s(十一)、分布式存储Cephfs使用 前言: 首先解释一下pv/pvc的相关概念: PV【persistentVolume】:是k8s抽象化的存储资源,主要包括存储能力、访问模式、存储类型、回收策略等关键信息.PV是k8s实际对接存储后端的真正入口 PVC【PersistentVolumeClaims】:是对PV资源的一种声明,pvc绑定实体资源pv后,pod通过绑定pvc来使...
k8s之Pod安全策略
weixin_37337210的博客
01-20 1732
导读 Pod容器想要获取集群的资源信息,需要配置角色和ServiceAccount进行授权。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。 Pod特权模式 容器内的进程获得的特权几乎与容器外的进程相同。使用特权模式,可以更容易地将网络和卷插件编写为独立的pod,不需要编译到kubelet中。 PodSecurityPolicy 官网定义 Pod 安全策略(Pod Security Polic
k8s权威指南第六章----深入分析集群安全机制
qq_32783703的博客
05-02 1602
1、API Server 认证管理 K8s集群有两种认证方式: ServiceAccount 和 普通用户 api server 访问方式: 1)kubectl kubelets 2)ServiceAccount 3)匿名方式 k8s提供的认证方式,这些方式都不仔细看了,了解下就好: 1)https 证书 2)Http Bearer Token 3) OpenId Connect Token 4)Webhook Token 5)Authenticating Proxy 认证 2、ApiSever 授权管理
云服务器单机k8s部署
qq_29715803的博客
03-28 1293
云服务器部署单机版k8s+jenkins
揭秘K8s Pod安全:从SCC的实践到现在的PSA的全面解析
力哥讲技术
04-28 1534
对于和 containerd 类似,通过 Linux namespace 和 Cgroup 实现的一类 容器技术,本质上,容器就是 宿主节点的一个进程,出于安全考虑,最小权限原则,在生产中,很少使用 Root 来运行一些业务进程,即很少通过 根用户 来运行相关容器。避免 特权升级,容器逃逸,以及利用不必要权限来增加意外操作或者恶意行为。
Kubernetes集群学习(1)——k8s的部署
weixin_45784367的博客
04-22 571
文章目录一、Kubernetes简介1.背景2.优势3.kubernetes设计架构4.核心组件二、Kubernetes的部署1.实验环境2.实验步骤server1:server2、3、4:server2: 一、Kubernetes简介 1.背景 在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年,Borg系统运行管理着成千上万的容器应用。 Kubern...
k8s security
growing_up_的博客
07-28 734
kubernetes security
CNCF Security Context学习笔记
weixin_40455124的博客
03-30 612
Security Context security context defines privilege and access control settings for a Pod or Container 类型 Discretionary (委托、账户)Access Control: Permission to access an object, like a file, is based on ...
kubernetes--安全上下文(Security Context)
热门推荐
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
k8s安全相关特性汇总
qq_22548549的博客
12-13 899
k8s安全相关特性汇总,securityContext, podSecurityPolicy和NetworkPolicy
kubernetesr进阶--Security Context之为Pod设置Security Context
linus.lin的博客
10-30 658
在 Pod 的定义中增加字段,即可为 Pod 指定 Security 相关的设定。字段是一个 PodSecurityContext对象。通过该字段指定的内容将对该 Pod 中所有的容器生效。
下面哪些是Security Context的设置项
mischen520的博客
08-15 655
runAsUser:‌这个设置项用于指定容器默认用户的UID,‌确保容器以特定的用户身份运行,‌从而控制容器内的文件访问权限。sysctls:‌允许在容器中修改特定的系统调用参数,‌尽管只有一小部分的sysctls可以在每个容器的基础上进行修改,‌但这个设置项提供了对容器内部系统配置的精细控制。‌设置为false将不允许容器内的进程提升权限,‌增加了安全性。这些设置项共同构成了Security Context,‌旨在提供对容器运行环境的细粒度安全控制,‌确保容器化应用的安全性和隔离性。
Kubernetes SecurityContext 安全上下文之 容器使用不同用户运行时共享存储卷
小楼一夜听春雨,深巷明朝卖杏花
08-12 1860
容器使用不同用户运行时共享存储卷 使用存储卷在pod的不同容器中共享数据。可以顺利地在一个容器中写入数据,在另 一个容器中读出这些数据。 但这只是因为两个容器都以root用户运行,对存储卷中的所有文件拥有全部权限。 现在假设使用前面介绍的runAsUser选项。你可能需要在一个pod中用两个不同的用户运行两个容器(可能是两个第三方的容器,都以它们自己的特定用户运行进程)。如果这样的两个容器通过存储卷共享文件,它们不一定能够读取或写入另 一个容器的文件。 因此,Kubemetes允许...
解密 Kubernetes 权限管理:supplementalGroups 的魔力与 fsGroup 的选择
daihaoxin的专栏
08-23 955
本文探讨了Kubernetes中supplementalGroups的作用与使用方法。作为Pod安全上下文字段,它允许为容器进程添加额外组ID,使其能够访问主组之外的资源,而无需更改主身份。supplementalGroups作用于进程组列表,不修改文件;而fsGroup则修改挂载卷的文件所有权。建议根据需要组合使用runAsUser、runAsGroup和fsGroup管理数据卷权限,仅对特殊场景使用suppl
K8S的网络模式
最新发布
09-09
Kubernetes 有多种网络模式,以下为一些常见的网络模式: ### Flannel Flannel 是一种简单易用的 Kubernetes 网络插件,它为集群中的每个节点创建一个子网,并通过 VXLAN 或 UDP 封装数据包,实现跨节点的 Pod 通信。Flannel 配置简单,适用于对网络性能要求不是特别高的场景。例如,在一个测试环境或开发环境中,Flannel 可以快速搭建起 Kubernetes 集群的网络。 ```yaml # 这是一个 Flannel 的配置示例 apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: psp.flannel.unprivileged annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: docker/default seccomp.security.alpha.kubernetes.io/defaultProfileName: docker/default apparmor.security.beta.kubernetes.io/allowedProfileNames: runtime/default apparmor.security.beta.kubernetes.io/defaultProfileName: runtime/default spec: privileged: false volumes: - configMap - secret - emptyDir - hostPath allowedHostPaths: - pathPrefix: "/etc/cni/net.d" - pathPrefix: "/etc/kube-flannel" - pathPrefix: "/run/flannel" readOnlyRootFilesystem: false # Users and groups runAsUser: rule: RunAsAny supplementalGroups: rule: RunAsAny fsGroup: rule: RunAsAny # Privilege Escalation allowPrivilegeEscalation: false defaultAllowPrivilegeEscalation: false # Capabilities allowedCapabilities: ['NET_ADMIN', 'NET_RAW'] defaultAddCapabilities: [] requiredDropCapabilities: [] # Host namespaces hostPID: false hostIPC: false hostNetwork: true hostPorts: - min: 0 max: 65535 # SELinux seLinux: # SELinux is unused in CaaSP rule: 'RunAsAny' ``` ### Calico Calico 是一个开源的网络和网络安全解决方案,它使用 BGP(边界网关协议)来实现 Pod 之间的网络通信,并且提供了强大的网络策略功能,可以对 Pod 之间的流量进行细粒度的控制。Calico 适用于对网络安全要求较高的生产环境。例如,在金融行业的 Kubernetes 集群中,可以使用 Calico 来确保不同业务系统之间的网络隔离。 ```yaml # 这是一个 Calico 的配置示例 apiVersion: projectcalico.org/v3 kind: NetworkPolicy metadata: name: allow-tcp-8080 namespace: default spec: selector: app == 'web' types: - Ingress ingress: - protocol: TCP source: selector: app == 'client' ports: - 8080 ``` ### Weave Net Weave Net 是一个支持多主机容器网络的网络解决方案,它可以自动发现集群中的节点,并建立加密的网络连接。Weave Net 提供了简单的网络配置和良好的跨节点通信性能,适用于跨多个数据中心或云提供商的 Kubernetes 集群。例如,在混合云环境中的 Kubernetes 集群,可以使用 Weave Net 来实现不同云环境之间的 Pod 通信。 ```bash # 安装 Weave Net kubectl apply -f "https://cloud.weave.works/k8s/net?k8s-version=$(kubectl version | base64 | tr -d '\n')" ``` ### Canal Canal 是 Flannel 和 Calico 的结合体,它将 Flannel 的网络功能和 Calico 的网络策略功能整合在一起。Canal 既提供了简单的网络配置,又具备强大的网络安全策略,适用于对网络功能和安全都有一定要求的场景。例如,在一个企业级的 Kubernetes 集群中,可以使用 Canal 来满足网络通信和安全控制的需求。 ```yaml # 这是一个 Canal 的配置示例 kind: ConfigMap apiVersion: v1 metadata: name: canal-config namespace: kube-system data: # 定义 CNI 网络配置 cni_network_config: |- { "name": "k8s-pod-network", "cniVersion": "0.3.1", "plugins": [ { "type": "calico", "log_level": "info", "datastore_type": "kubernetes", "nodename": "__KUBERNETES_NODE_NAME__", "mtu": 1500, "ipam": { "type": "host-local", "subnet": "usePodCidr" }, "policy": { "type": "k8s" }, "kubernetes": { "kubeconfig": "__KUBECONFIG_FILEPATH__" } }, { "type": "portmap", "capabilities": { "portMappings": true } } ] } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值