Windows 节点安全
本页面描述了 Windows 操作系统特有的安全注意事项和最佳实践。
节点上 Secret 数据的保护
在 Windows 上,来自 Secret 的数据以明文形式写入节点的本地存储(与在 Linux 上使用 tmpfs / 内存文件系统相比)。作为集群操作员,你应该采取以下两项额外措施:
- 使用文件 ACL 保护 Secret 的文件位置。
- 使用 BitLocker 应用卷级加密。
容器用户
可以为 Windows Pod 或容器指定 RunAsUsername,以特定用户身份执行容器进程。这大致相当于 RunAsUser。
Windows 容器提供两个默认用户账户:ContainerUser 和 ContainerAdministrator。这两个用户账户之间的差异在 Microsoft 的《安全 Windows 容器》文档中 何时使用 ContainerAdmin 和 ContainerUser 用户账户 一节中有所介绍。
本地用户可以在容器构建过程中添加到容器镜像中。
注意
- 基于 Nano Server 的镜像默认以
ContainerUser身份运行。 - 基于 Server Core 的镜像默认以
ContainerAdministrator身份运行。
Windows 容器还可以通过利用 组管理服务账户 来以 Active Directory 身份运行。
Pod 级安全隔离
Linux 特定的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)在 Windows 节点上不受支持。
Windows 上不支持特权容器。相反,HostProcess 容器可以在 Windows 上用于执行 Linux 上特权容器执行的许多任务。
最后修改于 2022 年 6 月 18 日太平洋标准时间下午 4:28:批量修复链接 (3) (d705d9ed1c)