kubernets CKS 4.1 Pod安全上下文(一)

已于 2022-07-15 09:50:42 修改
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: kubernetes CKS 文章标签: 安全 docker flask kubernetes 云原生
于 2022-07-10 18:46:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cloud_engineer/article/details/125709318
本文介绍了Kubernetes安全上下文(SecurityContext)中的多种安全机制,如自主访问控制、SELinux、AppArmor、Seccomp等,用于限制容器的权限和系统调用。通过示例展示了如何以普通用户和root用户运行Docker镜像,并讨论了如何禁止容器进程的权限提升和只读根文件系统。最后提到了将镜像推送到Dockerhub的操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一篇: kubernets CKS 3.3 Seccomp 限制容器进程系统调用

安全上下文(Security Context):K8s对Pod和容器提供的安全机制,可以设置Pod特权和访问控制。

4.1.1 安全上下文限制维度

•自主访问控制(Discretionary Access Control):基于用户ID(UID)和组ID(GID),来判定对对象(例如文件)的访问权限。
•安全性增强的Linux(SELinux):为对象赋予安全性标签。
•以特权模式或者非特权模式运行。
•Linux Capabilities: 为进程赋予root 用户的部分特权而非全部特权。
•AppArmor:定义Pod使用AppArmor限制容器对资源访问限制
•Seccomp:定义Pod使用Seccomp限制容器进程的系统调用
•AllowPrivilegeEscalation:禁止容器中进程(通过SetUID 或SetGID 文件模式)获得特权提升。当容器以特权模式运行或者具有CAP_SYS_ADMIN能力时,AllowPrivilegeEscalation总为True。
•readOnlyRootFilesystem:以只读方式加载容器的根文件系统。

4.1.2 docker例子以普通用户运行的镜像

以root运行的镜像

# cat Dockerfile 
FROM python
RUN mkdir /data/www -p
COPY . /data/www
RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/ && \
    pip install prometheus_client -i https://mirrors.aliyun.com/pypi/simple/
WORKDIR /data/www
CMD python main.py

以python用户运行的镜像

# cat Dockerfile 
FROM python
RUN useradd python
RUN mkdir /data/www -p
COPY . /data/www
RUN chown -R python /data
RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/ && \
    pip install prometheus_client -i https://mirrors.aliyun.com/pypi/simple/
WORKDIR /data/www
USER python
CMD python main.py

制作镜像后运行容器:

docker build -t flask-demo-v1 .
docker build -t flask-demo-v2 .
docker run -d flask-demo-v1
docker run -d flask-demo-v2

以root运行的进程:

[root@k8s1 flask-demo]# ps -ef | grep main
root     109387  13828  0 18:28 pts/0    00:00:00 grep --color=auto main
root     116491 116461  0 18:19 ?        00:00:00 /bin/sh -c python main.py
root     116654 116491  0 18:19 ?        00:00:00 python main.py

以python运行的进程:(系统必须有一个python账号,没有显示id1000运行)

[root@k8s1 flask-demo]# ps -ef | grep main
python    96675  96648  0 21:22 ?        00:00:00 /bin/sh -c python main.py
python    96777  96675  0 21:22 ?        00:00:00 python main.py

将2个镜像打上tag上传到docker hub

docker tag flask-demo-v1 wangjinxiong/flask-demo:root
docker tag flask-demo-v2 wangjinxiong/flask-demo:noroot
docker push wangjinxiong/flask-demo:root
docker push wangjinxiong/flask-demo:noroot

下一篇:kubernets CKS 4.2 Pod安全上下文(二)

K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
2401_87198828的博客
09-19 2633
2.测试,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
wangluoanquan111的博客
02-22 1111
这是个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。容器中的应用程序默认以root账号运行的,这个root与宿主机root用户权限是样的,拥有大部分对Linux内核的系统调用权限,不安全,所以我们应该将容器里的程序以普通用户运行,减少应用程序对权限的使用。2.再使用runsc创建个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。
Kubernetes 系统强化 Pod安全上下文
小楼一夜听春雨,深巷明朝卖杏花
07-06 813
安全上下文(Security Context):K8s对Pod和容器提供的安全机制,可以设置Pod特权和访问控制。 背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。(容器是宿主机上面的进程,该进程有r非常大的权限,容器只是在宿主机上面封装了状态,也是个实际进程) 可以通过两种方法设置普通用户: • Dockerfi
kubernets CKS 4.2 Pod安全上下文()
cloud_engineer的博客
07-13 991
安全上下文(Security Context):K8s对Pod和容器提供的安全机制,可以设置Pod特权和访问控制。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged(1)
最新发布
2401_87298823的博客
09-22 1610
2.测试,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
Kubernetes CKS 考试题库(带解答和解析)
08-20
Kubernetes CKS 考试题库
Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
05-29
分享cks课程——Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
Kubernetes CKS认证课程:实战安全专家训练
"KubernetesK8s CKS 认证实战班(安全专家)(第四期,2022年5月底结课)"课程涵盖了Kubernetes(K8s)相关的安全知识和实践操作,是面向希望获取CKS(Certified Kubernetes Security Specialist)认证的安全专家的...
2022版Kubernetes CKS认证备考实战班视频教程
安全上下文定义了运行在Pod内部的容器所使用的系列安全相关的属性,如用户ID、组ID、文件系统的权限等。正确配置安全上下文是保证容器安全运行的关键。 6. 容器安全 容器安全包括了镜像的安全扫描、运行时安全...
K8s进阶6——pod安全上下文(1),重难点整理
2401_84138785的博客
04-07 1265
2.创建pod,使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看,是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户,则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。
Kubernetes(十九)Security Context()
wzj_110的博客
11-24 1450
官网文档参考 Pod 安全性标准 为 Pod 或容器配置安全上下文 二 Security Context (1)背景引入 说明:'privileged'(特权模式) '不等于' root-->比如:root用户无法'关闭容器网卡' 思考:哪些容器需要'修改内核参数'? (2)安全上下文的配置级别 (3)安全上下文的设置方式 三 实战 (1Pod 设置 Security Context 用法: 在 Pod 定义的'资源清单文件中'添加's...
kubernetes常见安全问题_Kubernetes安全上下文runAsUser
weixin_39895977的博客
12-21 563
定义 定义 描述 ContainerGroup 容器组 ImageRegistryCredential 镜像仓库登录信息 Volume 数据卷 Event 事件 Tag 容器标签 DNSConfig DNS配置信息 Container 容器 ContainerState 容器状态 VolumeMount 数据卷挂载点 EnvironmentVar 容器环境变量 ContainerPort 容器端口...
云原生|kubernetes|pod或容器的安全上下文配置解析
zsk_john的技术分享专用博客
01-08 1192
​ 若要为 Container 设置安全性配置,可以在 Container 清单中包含securityContext字段。securityContext字段的取值是个SecurityContext对象。你为 Container 设置的安全性配置仅适用于该容器本身,并且所指定的设置在与 Pod 层面设置的内容发生重叠时,会重写 Pod 层面的设置。Container 层面的设置不会影响到 Pod 的卷。说人话就是pod和容器两个层面都可以设置securitycontext,如果是多容器,比如,某个
Kubernetes安全1. SecurityContext 安全上下文
爱死亡机器人
09-11 8255
简介 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1920
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
K8S为 Pod 或容器配置安全上下文securityContext,解决Docker容器限制文件句柄数的问题
运维@小兵的博客
09-12 8518
文章目录、问题浅谈Docker安全性支持二、解决方法`方法:简单粗暴``方法二:温柔可佳`Capability能力介绍点这里 、问题 我需要在容器里面把最大文件句柄数设置为204800,但发现被拒绝。这是Docker自身安全机制导致的 浅谈Docker安全性支持 二、解决方法 方法:简单粗暴 设置容器为特权模式即可,但安全性不高 在yaml文件添加如下两行 securityContext: privileged: true kubectl apply -f pod-01.yam
k8s安全07--使用AppArmor限制容器访问资源
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-21 1812
k8s安全07--使用AppArmor限制容器访问资源1 介绍2 操作案例2.1 apparmor 基础命令2.2 通过AppArmor 限制pod访问的资源3 注意事项4 说明 1 介绍 AppArmor is a kernel enhancement to confine programs to a limited set of resources. AppArmor’s unique security model is to bind access control attributes to prog
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值