Kubernetes对Container Capabilities的支持

最新推荐文章于 2025-03-26 23:06:01 发布
转载 最新推荐文章于 2025-03-26 23:06:01 发布 · 1k 阅读 · 0

本文介绍如何在Kubernetes中配置容器的Capabilities,包括通过Pod.spec.containers.securityContext.capabilities添加和删除权限,以及如何利用DockerContainerCapabilities实现对容器网络接口等资源的操作。

相信玩过docker的同学,都对Docker Container Capability有过了解。我曾经在项目中因为修改网卡配置权限问题,需要配置容器的Capabilities(NET_ADMIN),当时做过一些研究。今天突然有个同事问我,在Kubernetes中怎么配置容器的Capabilities呢?本文就全面介绍一下这方面的内容。

Docker Container Capabilities

在docker run命令中,我们可以通过--cap-add--cap-drop来给容器添加linux Capabilities。下面表格中的列出的Capabilities是docker默认给容器添加的,用户可以通过--cap-drop去除其中一个或者多个。

Docker’s capabilitiesLinux capabilitiesCapability Description
SETPCAPCAP_SETPCAPModify process capabilities.
MKNODCAP_MKNODCreate special files using mknod(2).
AUDIT_WRITECAP_AUDIT_WRITEWrite records to kernel auditing log.
CHOWNCAP_CHOWNMake arbitrary changes to file UIDs and GIDs (see chown(2)).
NET_RAWCAP_NET_RAWUse RAW and PACKET sockets.
DAC_OVERRIDECAP_DAC_OVERRIDEBypass file read, write, and execute permission checks.
FOWNERCAP_FOWNERBypass permission checks on operations that normally require the file system UID of the process to match the UID of the file.
FSETIDCAP_FSETIDDon’t clear set-user-ID and set-group-ID permission bits when a file is modified.
KILLCAP_KILLBypass permission checks for sending signals.
SETGIDCAP_SETGIDMake arbitrary manipulations of process GIDs and supplementary GID list.
SETUIDCAP_SETUIDMake arbitrary manipulations of process UIDs.
NET_BIND_SERVICECAP_NET_BIND_SERVICEBind a socket to internet domain privileged ports (port numbers less than 1024).
SYS_CHROOTCAP_SYS_CHROOTUse chroot(2), change root directory.
SETFCAPCAP_SETFCAPSet file capabilities.

下面表格中列出的Capabilities是docker默认删除的Capabilities,用户可以通过--cap-add添加其中一个或者多个。

Docker’s capabilitiesLinux capabilitiesCapability Description
SYS_MODULECAP_SYS_MODULELoad and unload kernel modules.
SYS_RAWIOCAP_SYS_RAWIOPerform I/O port operations (iopl(2) and ioperm(2)).
SYS_PACCTCAP_SYS_PACCTUse acct(2), switch process accounting on or off.
SYS_ADMINCAP_SYS_ADMINPerform a range of system administration operations.
SYS_NICECAP_SYS_NICERaise process nice value (nice(2), setpriority(2)) and change the nice value for arbitrary processes.
SYS_RESOURCECAP_SYS_RESOURCEOverride resource Limits.
SYS_TIMECAP_SYS_TIMESet system clock (settimeofday(2), stime(2), adjtimex(2)); set real-time (hardware) clock.
SYS_TTY_CONFIGCAP_SYS_TTY_CONFIGUse vhangup(2); employ various privileged ioctl(2) operations on virtual terminals.
AUDIT_CONTROLCAP_AUDIT_CONTROLEnable and disable kernel auditing; change auditing filter rules; retrieve auditing status and filtering rules.
MAC_OVERRIDECAP_MAC_OVERRIDEAllow MAC configuration or state changes. Implemented for the Smack LSM.
MAC_ADMINCAP_MAC_ADMINOverride Mandatory Access Control (MAC). Implemented for the Smack Linux Security Module (LSM).
NET_ADMINCAP_NET_ADMINPerform various network-related operations.
SYSLOGCAP_SYSLOGPerform privileged syslog(2) operations.
DAC_READ_SEARCHCAP_DAC_READ_SEARCHBypass file read permission checks and directory read and execute permission checks.
LINUX_IMMUTABLECAP_LINUX_IMMUTABLESet the FS_APPEND_FL and FS_IMMUTABLE_FL i-node flags.
NET_BROADCASTCAP_NET_BROADCASTMake socket broadcasts, and listen to multicasts.
IPC_LOCKCAP_IPC_LOCKLock memory (mlock(2), mlockall(2), mmap(2), shmctl(2)).
IPC_OWNERCAP_IPC_OWNERBypass permission checks for operations on System V IPC objects.
SYS_PTRACECAP_SYS_PTRACETrace arbitrary processes using ptrace(2).
SYS_BOOTCAP_SYS_BOOTUse reboot(2) and kexec_load(2), reboot and load a new kernel for later execution.
LEASECAP_LEASEEstablish leases on arbitrary files (see fcntl(2)).
WAKE_ALARMCAP_WAKE_ALARMTrigger something that will wake up the system.
BLOCK_SUSPENDCAP_BLOCK_SUSPENDEmploy features that can block system suspend.

比如,我们可以通过给给容器add NET_ADMIN Capability,使得我们可以对network interface进行modify,对应的docker run命令如下:

$ docker run -it --rm --cap-add=NET_ADMIN ubuntu:14.04 ip link add dummy0 type dummy
  • 1

Kubernetes SecurityContext

在Kubernetes对Pod的定义中,用户可以add/drop Capabilities在Pod.spec.containers.sercurityContext.capabilities中添加要add的Capabilities list和drop的Capabilities list。

比如,我要添加NET_ADMIN Capability,删除KILL Capability,则对应的Pod定义如下:

apiVersion: v1
kind: Pod
metadata:
  name: hello-world
spec:
  containers:
  - name: friendly-container
    image: "alpine:3.4"
    command: ["/bin/echo", "hello", "world"]
    securityContext:
      capabilities:
        add:
        - NET_ADMIN
        drop:
        - KILL
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

总结

Kubernetes通过在Pod.spec.containers.sercurityContext.capabilities中配置容器待add和drop的Capabilities,最终借助docker container Capabilities的能力,完成容器的Capabilities权限控制。

KubernetesKubernetes CNI (Container Network Interface)
九师兄
11-30 410
CNI (Container Network Interface) 是一个由 CNCF(Cloud Native Computing Foundation)管理的项目,旨在为容器网络提供一个统一的接口。CNI 定义了一个轻量级的插件架构,用于配置各种容器运行时的网络接口。CNI 不仅适用于 Kubernetes,还可以用于其他容器编排平台,如 Mesos、Cloud Foundry 以及容器运行时如 Podman 和 CRI-O。CNI 是一个用于配置容器网络的规范,它通过插件架构支持不同的网络配置需求。
ABAP的Package interface, 安卓的manifest.xml和KubernetesCapabilities
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
10-15 542
ABAP 事务码SE21创建ABAP包接口。这是ABAP基于包层面的访问控制实现逻辑。包里可以存储很多ABAP对象。如果开发人员想将某些对象声明为包外程序也能访问,可以将这些对象放在包接口的Visible Elements标签页下面。 当然,如果一个对象没有出现在Visible elements标签页下,包外面的代码运行时仍然能访问到这个对象,只不过静态语法检查会报warning。 Androi...
[docker]Full container capabilities (–privileged)
毛台
05-12 626
Full container capabilities (–privileged) $ docker run -t -i --rm ubuntu bash root@bc338942ef20:/# mount -t tmpfs none /mnt mount: permission denied This will not work, because by default, mo
老卫带你学---K8S源码剖析(Capabilities
老卫带你学
03-05 609
我们可以在pod、container中通过设置securityContext来限制container对宿节点的权限。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4509
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
k8s中容器权限问题
qq_38814358的博客
11-09 5806
问题1 在容器内strace/gdb一个进程报错: operation not permitted 这涉及到ptrace系统调用的权限问题,默认容器是没有权限去ptrace进程的。 这个问题需要通过给容器提权才能解决,在K8S中需要给container级别增加如下选项: containers: - name: xxx image: xxx.com/php/zhongce_v2:a382ecfa39d16391bc91f2036437906ef97c875e-15530
kubernetes高级应用之初始化容器
最新发布
weixin_62649065的博客
03-26 1116
与常规容器不同,初始化容器必须成功完成才能启动主容器,如果初始化容器失败,Kubernetes会根据Pod的`restartPolicy`策略决定是否重新启动它。| 特性 | 初始化容器 | 主容器 || 执行顺序 | 在主容器之前运行 | 在初始化容器完成后运行 |1. **单一职责**:每个初始化容器应该只完成一个明确的初始化任务。
Kubernetes Dashboard
FLGB
06-18 1712
使用上述命令生成的自签名证书 k8s.test.crt 和私钥 k8s.test.key 是自签名的证书,其安全性在开发或测试环境中通常是可以接受的,但不会被主流浏览器(如Chrome、Firefox、Edge等)视为安全,因为它们未经公共颁发机构(CA)的认证和签名。在开发或测试环境中,可以使用这样的自签名证书来进行测试和开发工作。它生成的是一个 X509 格式的证书,有效期 365 天,私钥是 RSA2048 位,摘要算法是 SHA256,签发的网站是“k8s.test”。
k8s docker --device --cap-add 的yaml配置
qq_34168515的博客
05-12 4022
支持docker run --cap-add的yaml写法 - name: net image: nath:1 securityContext: capabilities: add: # 添加 - NET_ADMIN 支持docker run --device 的yaml写法 containers: - name: net
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
yy1715713348的博客
07-21 817
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
K8S搭建
程序员劝退师的博客
08-25 312
1.安装docker 这个就不过多演示!比较简单 2.关闭swap 提示报错 [preflight] Running pre-flight checks [WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs
k8s(3)
2302_79748698的博客
02-22 1108
使用BGP模式会把每个node节点看作成路由器,通过Felix、BIRD组件来维护和分发路由规则,可实现直接通过BGP路由协议实现路由转发,传输过程中不需要额外封包和解包过程,因此性能较好,但是只能在同一个网段里使用,无法跨子网传输。3)flanneld进程会根据在etcd中维护的路由表查到目标Pod所在的nodeIP,并在UDP报文外封装nodeIP头部、MAC头部,再通过物理网卡发送到目标node节点。VXLAN可以将数据帧封装成UDP报文,再通过网络层传输给其它网络,从而实现虚拟大二层网络的通信。
Docker 网络学习手册(二)
龙哥盟
07-10 1117
控制组提供了一种将任务(进程)及其所有未来的子任务聚合/分区到分层组中的机制。cgroup 将一组任务与子系统的参数关联起来。子系统本身是用于定义 cgroups 边界或为资源提供的资源控制器。层次结构是一组以树状排列的 cgroups,系统中的每个任务都恰好位于层次结构中的一个 cgroup 中,并且一组子系统。在本章中,我们深入探讨了 Docker 安全性,并概述了 cgroups 和内核命名空间。
保障K8s部署中的安全性
Free雅轩的博客
10-16 465
开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统。 Kubernetes是当前流行和常用的容器编排工具之一。Kubernetes工作负载就像简单的nginx服务器或cron作业一样执行的应用程序。Kubernetes部署成为了一种最常用的工作负载,因为它可以轻松更新、扩展和管理。 最近发布的Kubernetes Hardening指南是一个很好的资源,它提供了有关如何有效保护Kubernetes的指导。该指南提供的信息清楚地表明,保护和强化Kube
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged(1)
2401_87298823的博客
09-22 1779
2.测试一,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
2401_87198828的博客
09-19 2790
2.测试一,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
kubernetes】 k8s集群搭建(无坑版本)
热门推荐
wei的博客
10-02 1万+
k8s集群搭建,并拉取Nginx镜像进行配置,通过containerd方式部署k8s集群
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值