41、容器安全上下文配置与使用限制

容器安全上下文配置与使用限制

在容器化应用的部署与管理中，安全是至关重要的一环。本文将详细介绍容器安全上下文的配置，以及如何通过策略限制用户对安全相关特性的使用。

1. 运行默认安全上下文的 Pod

首先，我们可以运行一个使用默认安全上下文选项的 Pod，以此观察其与自定义安全上下文 Pod 的行为差异。

$ kubectl run pod-with-defaults --image alpine --restart Never -- /bin/sleep 999999
pod "pod-with-defaults" created

为了查看容器运行的用户和组 ID，以及它所属的组，可以在容器内部运行 id 命令：

$ kubectl exec pod-with-defaults id
uid=0(root) gid=0(root) groups=0(root), 1(bin), 2(daemon), 3(sys), 4(adm), 6(disk), 10(wheel), 11(floppy), 20(dialout), 26(tape), 27(video)

从输出结果可知，容器以用户 ID（uid）0（即 root 用户）和组 ID（gid）0（同样是 root 组）运行，并且它还是多个其他组的成员。需要注意的是，容器运行的用户是在容器镜像中指定的，在 Dockerfile 中可以使用 USER 指令来设置，