Linux 节点安全

本页面描述了 Linux 操作系统特有的安全注意事项和最佳实践。

节点上 Secret 数据的保护

在 Linux 节点上，内存支持的卷（例如 secret 卷挂载，或带有 medium: Memory 的 emptyDir）是通过 tmpfs 文件系统实现的。

如果配置了交换分区并使用了较旧的 Linux 内核（或当前内核和不受支持的 Kubernetes 配置），则内存支持的卷的数据可能会写入持久性存储。

Linux 内核从版本 6.3 开始正式支持 noswap 选项，因此，如果节点上启用了交换分区，建议使用的内核版本为 6.3 或更高版本，或者通过反向移植支持 noswap 选项。

有关更多信息，请阅读交换内存管理。