kubernetes自定义pod启动用户

最新推荐文章于 2025-05-27 19:07:16 发布
最新推荐文章于 2025-05-27 19:07:16 发布
阅读量508 收藏 10
点赞数 4
分类专栏: DevSecOPS kubernetes 云原生 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/happy_king_zi/article/details/142966062
版权

一、kubernetes自定义pod启动用户

  一)以root用户启动pod

containers:
  - name: ...
    image: ...
    securityContext:
      runAsUser: 0

  二)以普通用户启动pod

  1、从构建镜像角度修改
# RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为10000,并指定了用户登录后使用的主目录和shell)
RUN groupadd --gid 10000 newuser \
  && useradd --home-dir /home/newuser --create-home --uid 10000 --gid 10000 --shell /bin/sh --skel /dev/null newuser

# 指定用户,从这一行往下开始的每个命令都是以newuser身份而不是root身份运行(比如后面的CMD、EntryPoint)
USER newuser
   2、从容器启动方式角度修改

  可以使用Pod安全上下文,将Pod的执行限制为特定的非root用户。

  通过Pod构建文件中添加securityContext来配置Pod的安全设置

apiVersion: v1
kind: Pod
metadata:    
  name: pod-helloworld
spec:  
  securityContext: 
    runAsNonRoot: true
    runAsUser: 10000
    runAsGroup: 10000
    fsGroup: 10000

  runAsUser指定Pod内的任何容器仅以userID为10000的运行,runAsGroup指定的容器内所有进程的组ID(组ID不指定默认为0)。你可以先进入容器,然后使用 ps 命令查看进程的用户。

  三)以root用户进入pod

  1、首先找到你需要进入对应namespace的pod名
kubectl get pod|grep podname
  2、找到pod所在的节点以及容器id
kubectl describe pod “pod名”
在所给信息中找到以下字段:

Node:所查pod所在的节点

Container ID:所查pod的容器id,形如docker://...,注意Container ID 不包括docker://
  3、ssh到pod对应节点
  4、以root用户权限进入pod
docker exec -it -u root 'Container ID' /bin/bash


 

Kubernetes 自定义服务的启动顺序
专注基础架构领域
07-24 7324
Pod中能够包含多个容器,也可能包含一个或多个先于应用容器启动的init容器。它们只运行到完成每个init容器都必须在下一个启动之前成功完成init容器不支持Readiness Probe,因为它们必须在pod启动之前完成如果一个pod指定了多个init容器,则init容器会按顺序启动,每个init容器运行成功,下一个才能运行,当所有init容器完成后,应用容器才能正常初始化如果pod中的init容器失败,kubernetes会不断的重启该pod,直到init容器成功为止,如果pod对应的。
kubernetes 自定义调度器
huangleijay的专栏
07-14 1099
todo: 1: 修改proiority 打分逻辑,加上load的权重 2: 编译新的调度器,打包推上线 3: 为某些deployment 指定使用新的调度器 正文 2:编译新的调度器,打包上线 参考 https://k8smeetup.github.io/docs/tasks/administer-cluster/configure-multiple-schedulers/ 3:指定调度器 通过提供调度器名称作为spec.schedulerName 参考同上连接 ...
Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行
小楼一夜听春雨,深巷明朝卖杏花
08-05 9526
配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。 了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事 指定容器中运行进程的用户用户ID )。 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行 使用特权模式运行
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4269
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
K8s进阶6——pod安全上下文(1),重难点整理
2401_84138785的博客
04-07 1253
2.创建pod,使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看,是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户,则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。
k8s系列 之 容器安全pod安全 集群安全
yuezhilangniao的博客
09-13 1554
原文:https://blog.youkuaiyun.com/bloodzero_new/article/details/110328113 一 容器本身安全 Docker Security Capability: AppArmor: AppArmor(应用程序防护)是一种Linux安全模块,可保护操作系统及其应用程序免受安全威胁; SELinux: SELinux是一个应用程序安全系统,它提供了一个访问控制系统,大大增强了自由访问控制模型; Seccomp: Seccomp是一种Linux内核功能,可用于限制容器中可
Kubernetes-API访问控制、serviceaccount、useraccount、RBAC、服务账户自动化
qq_46490950的博客
08-03 715
目录一.访问控制原理二.Authentication(认证)1.创建serviceaccount2. 创建UserAccount三.Authorization(授权)1.role示例2.ClusterRole示例四.服务账户的自动化 一.访问控制原理 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernete
Prometheus:监控与告警:18: 监控KubernetesPod
知行合一 止于至善
01-31 9993
在前面的文章中介绍了Kubernetes和Prometheus进行集成的常见方式,这篇文章结合具体的示例介绍一下如何监控KubernetesPod
Kubernetespod的管理及优化
2301_77000936的博客
10-10 1027
kubernetes中,所有的内容都抽象为资源,用户需要通过操作资源来管理kuberneteskubernetes的本质上就是一个集群系统,用户可以在集群中部署各种服务所谓的部署服务,其实就是在kubernetes集群中运行一个个的容器,并将指定的程序跑在容器中。kubernetes的最小管理单元是pod而不是容器,只能将容器放在Pod中,kubernetes一般也不会直接管理Pod,而是通过Pod控制器来管理Pod的。
自定义KubernetesPod的生命周期管理方法
KubernetesPod的生命周期管理概述 ## 1.1 什么是Pod? 在Kubernetes中,Pod是最小的调度单元,可以包含一个或多个紧密耦合的容器,共享存储、网络资源及运行时上下文。PodKubernetes中能够创建和管理的最小...
k8s的Pod安全策略
weixin_38320674的博客
08-09 2510
微信公众号搜索 DevOps和k8s全栈技术 ,即可关注公众号,也可扫描文章最后的二维码关注公众号,每天会分享技术文章供大家阅读参考哈~前言PodSecurityPolicy类型的对象能...
k8s笔记二(pod资源的创建与管理)
dayi_123的博客
03-20 6906
Podkubernetes系统中的最小调度单元,也是基础单元,而其他的大多数资源对象都是用于支撑和扩展pod对象功能的。而pod的创建可以通过命令创建或者将pod资源定义为资源清单,再通过定义的清单创建。 一、通过命令创建pod 通过命令创建的pod的为自主式pod,不受pod控制器的管理,创建的语法格式为: kubectl run NAME --ima...
kubernetes常见安全问题_Kubernetes安全上下文runAsUser
weixin_39895977的博客
12-21 560
定义 定义 描述 ContainerGroup 容器组 ImageRegistryCredential 镜像仓库登录信息 Volume 数据卷 Event 事件 Tag 容器标签 DNSConfig DNS配置信息 Container 容器 ContainerState 容器状态 VolumeMount 数据卷挂载点 EnvironmentVar 容器环境变量 ContainerPort 容器端口...
【微服务】Kubernetes 对象之Pod(重点)
探索世界,改变世界
11-22 3751
目录 Kubernetes PodPodKubernetes中的Pod使用可分两种主要方式: Pods: Pods提供两种共享资源:网络和存储。 使用PodPod和Controller: Pod模板: Pod 安全策略: Kubernetes Pod 生命周期: 容器探针: Pod容器状态: 重启策略: Pod 的生命: 状态示例: Init 容器...
PullToRefreshListView的简单使用
孤云博客
06-17 3148
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 在前面介绍过XListView的使用,这里介绍一个类似的列表控件:PullToRefreshListView,它来自开源项目PullToRefresh,里面还有一些其他控件,使用非常方便,直接上源码: MainA...
Pod资源管理(pod容器分类,k8s添加harbor私库,上传下载私库)
weixin_47151717的博客
10-14 593
Pod资源管理了解podPod容器分类:镜像拉取策略(image PullPolicy)创建pods资源k8s和Harbor服务过程node节点配置连接私有仓库在node节点下载tomcat基于本地镜像创建tomcat上传镜像到harbor创建资源从harbor中下载镜像 了解pod 特点: 最小部署单元 一组容器的集合 一个Pod中的容器共享网络命名空间 Pod是短暂的 Pod容器分类: infrastructure container 基础容器:维护整个Pod网络空间 node节点操
Kubernetes 以root用户运行pod
热门推荐
hqing159的博客
11-06 1万+
Kubernetes 以root用户运行pod 首先找到你需要进入对应namespace的pod名 kubectl get pod 找到pod所在的节点以及容器id kubectl describe podpod名” 在所给信息中找到以下字段: Node:所查pod所在的节点 Container ID:所查pod容器id,形如docker://...,注意Container ID 不包括docker:// ssh到pod对应节点 以root用户权限进入pod docker e
黑马k8s(十四)
dengfengling999的博客
05-24 580
开启ipvs修改每个显示的内容。
详解K8s API Server 如何处理请求的?
最新发布
weixin_43273856的博客
05-27 15
步骤作用示例1. 接收请求解析 HTTP 请求2. 认证(Authentication)验证身份检查 Token / 证书3. 鉴权(Authorization)检查权限RBAC 角色管理4. 准入控制(Admission Control)校验 & 变更资源自动添加默认值、检查安全策略5. 存储 & 变更存入 etcd & 触发变更Scheduler 监听 Pod,分配 Node🔥API Server = K8s 的“守门员”+“审批官”+“数据库接口”!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值