Linux 节点安全
本页面描述了 Linux 操作系统特有的安全注意事项和最佳实践。
节点上 Secret 数据的保护
在 Linux 节点上,内存支持的卷(例如 secret
卷挂载,或带有 medium: Memory
的 emptyDir
)是通过 tmpfs
文件系统实现的。
如果配置了交换分区并使用了较旧的 Linux 内核(或当前内核和不受支持的 Kubernetes 配置),则内存支持的卷的数据可能会写入持久性存储。
Linux 内核从版本 6.3 开始正式支持 noswap
选项,因此,如果节点上启用了交换分区,建议使用的内核版本为 6.3 或更高版本,或者通过反向移植支持 noswap
选项。
有关更多信息,请阅读交换内存管理。
上次修改时间:2025 年 6 月 22 日下午 4:08 PST:添加 Linux 安全文档条目 (24b1f35dfb)