Windows 节点安全
本页介绍了 Windows 操作系统特有的安全注意事项和最佳实践。
节点上 Secret 数据的保护
在 Windows 上,来自 Secret 的数据以明文形式写入节点的本地存储(与 Linux 上使用 tmpfs / 内存文件系统相比)。作为集群操作员,您应该采取以下两项额外措施
- 使用文件 ACL 来保护 Secret 的文件位置。
- 使用 BitLocker 应用卷级加密。
容器用户
可以为 Windows Pod 或容器指定 RunAsUsername,以特定用户身份执行容器进程。这大致等同于 RunAsUser。
Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。Microsoft 的安全 Windows 容器文档中的 何时使用 ContainerAdmin 和 ContainerUser 用户帐户介绍了这两个用户帐户之间的差异。
本地用户可以在容器构建过程中添加到容器镜像。
注意
- 基于 Nano Server 的镜像默认以
ContainerUser身份运行 - 基于 Server Core 的镜像默认以
ContainerAdministrator身份运行
Windows 容器还可以通过利用 组托管服务帐户,以 Active Directory 身份运行
Pod 级别的安全隔离
Windows 节点不支持特定于 Linux 的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)。
Windows 上不支持特权容器。相反,可以使用 Windows 上的 HostProcess 容器来执行 Linux 上特权容器执行的许多任务。
上次修改时间:2022 年 6 月 18 日下午 4:28 PST:批量修复链接 (3) (d705d9ed1c)