Windows 节点安全
本页描述了与 Windows 操作系统相关的安全注意事项和最佳实践。
保护节点上的 Secret 数据
在 Windows 上,Secret 中的数据会以明文形式写入节点的本地存储(与 Linux 上使用 tmpfs 或内存文件系统不同)。作为集群管理员,您应该采取以下两项额外措施
- 使用文件 ACL 来保护 Secret 的文件位置。
- 使用 BitLocker 应用卷级别加密。
容器用户
可以为 Windows Pod 或容器指定 RunAsUsername,以特定用户身份执行容器进程。这大致相当于 RunAsUser。
Windows 容器提供两个默认用户帐户:ContainerUser 和 ContainerAdministrator。有关这两个用户帐户之间的区别,请参阅 Microsoft 文档 安全 Windows 容器 中的 何时使用 ContainerAdmin 和 ContainerUser 用户帐户。
在容器构建过程中,可以将本地用户添加到容器镜像中。
注意
- 基于 Nano Server 的镜像默认以
ContainerUser身份运行 - 基于 Server Core 的镜像默认以
ContainerAdministrator身份运行
Windows 容器还可以通过利用 组管理服务帐户 以 Active Directory 身份运行
Pod 级别安全隔离
Linux 特定的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)在 Windows 节点上不受支持。
特权容器在 Windows 上不受支持。相反,可以在 Windows 上使用 HostProcess 容器 来执行 Linux 上特权容器执行的许多任务。
最后修改于 2022 年 6 月 18 日下午 4:28 (太平洋标准时间): 批量修复链接 (3) (d705d9ed1c)