Linux 节点安全

本页面描述了 Linux 操作系统特有的安全注意事项和最佳实践。

节点上 Secret 数据的保护

在 Linux 节点上,内存支持的卷(例如 secret 卷挂载,或带有 medium: MemoryemptyDir)是通过 tmpfs 文件系统实现的。

如果配置了交换分区并使用了较旧的 Linux 内核(或当前内核和不受支持的 Kubernetes 配置),则内存支持的卷的数据可能会写入持久性存储。

Linux 内核从版本 6.3 开始正式支持 noswap 选项,因此,如果节点上启用了交换分区,建议使用的内核版本为 6.3 或更高版本,或者通过反向移植支持 noswap 选项。

有关更多信息,请阅读交换内存管理

上次修改时间:2025 年 6 月 22 日下午 4:08 PST:添加 Linux 安全文档条目 (24b1f35dfb)