Pod必备知识： SecurityContexts-阿里云开发者社区

Pod必备知识： SecurityContexts

2020-02-20 1570

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

访问控制，不限时长

简介： Security Context主要用于限制容器的行为，从而保障系统和其他容器的安全。这一块的能力不是 Kubernetes 或者容器 runtime 本身的能力，而是 Kubernetes 和 runtime 通过用户的配置，最后下传到内核里，再通过内核的机制让 SecurityContext 来生效。所以这里介绍的内容，会比较简单或者说比较抽象一点。1.容器级别的Security Context：仅对指定容器生效2.Pod级别的Security Context：对指定Pod中的所有容器生效3.Pod Security Policies（PSP）：对集群内所有Pod生效

所属技术领域：

Pod

|名词定义|

Security Context主要用于限制容器的行为，从而保障系统和其他容器的安全。这一块的能力不是 Kubernetes 或者容器 runtime 本身的能力，而是 Kubernetes 和 runtime 通过用户的配置，最后下传到内核里，再通过内核的机制让 SecurityContext 来生效。所以这里介绍的内容，会比较简单或者说比较抽象一点。
1.容器级别的Security Context：仅对指定容器生效
2.Pod级别的Security Context：对指定Pod中的所有容器生效
3.Pod Security Policies（PSP）：对集群内所有Pod生效

|技术特点|

 权限和访问控制设置项：
1.Discretionary Access Control:根据用户id和组id来控制文件访问权限
2.SELinux：通过SELinux的策略配置控制用户，进程等对文件等访问控制
3.Privileged:容器是否为特权行为模式
4.Linux Capabilities：给特定进程配置privileged能力
5.AppArmor：控制可执行文件的访问控制权限（读写文件/目录，网络端口读写等）
6.Seccomp：控制进程可以操作的系统调用
7.AllowPrivilegeEscalation：控制一个进程是否能有比其父进程获取更多的权限
最后其实都是落到内核来控制它的一些权限。
图片.png

上图是对 pod 级别和容器级别配置 SecurityContext 的一个例子，如果大家对这些内容有更多的需求，可以根据这些信息去搜索更深入的资料来学习。
 securityContext的设置
kubernetes中有个字段叫securityContext，即安全上下文，它用于定义Pod或Container的权限和访问控制设置。其设置包括：

Discretionary Access Control: 根据用户ID（UID）和组ID（GID）来限制其访问资源（如：文件）的权限
针对pod设置：

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:

runAsUser: 1000
fsGroup: 2000

volumes:

name: sec-ctx-vol
emptyDir: {}
containers:
name: sec-ctx-demo
image: gcr.io/google-samples/node-hello:1.0
volumeMounts:
- name: sec-ctx-vol
  mountPath: /data/demo
securityContext:
allowPrivilegeEscalation: false
针对container设置：

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo-2
spec:
securityContext:

runAsUser: 1000

containers:

name: sec-ctx-demo-2
image: gcr.io/google-samples/node-hello:1.0
securityContext:
```
runAsUser: 2000
allowPrivilegeEscalation: false
```
Security Enhanced Linux (SELinux): 给容器指定SELinux labels

...
securityContext:
seLinuxOptions:

level: "s0:c123,c456"

Running as privileged or unprivileged：以privileged或unprivileged权限运行
apiVersion: v1
kind: Pod
metadata:
name: security-context-demo-4
spec:
containers:

name: sec-ctx-4
image: gcr.io/google-samples/node-hello:1.0
securityContext:
```
privileged: true
```
Linux Capabilities: 给某个特定的进程privileged权限，而不用给root用户所有的privileged权限

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo-4
spec:
containers:

name: sec-ctx-4
image: gcr.io/google-samples/node-hello:1.0
securityContext:
```
capabilities:
  add: ["NET_ADMIN", "SYS_TIME"]
```
AppArmor: 使用程序文件来限制单个程序的权限

Seccomp: 限制一个进程访问文件描述符的权限

AllowPrivilegeEscalation: 控制一个进程是否能比其父进程获取更多的权限，AllowPrivilegeEscalation的值是bool值，如果一个容器以privileged权限运行或具有CAP_SYS_ADMIN权限，则AllowPrivilegeEscalation的值将总是true。

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo-2
spec:
securityContext:

runAsUser: 1000

containers:

name: sec-ctx-demo-2
image: gcr.io/google-samples/node-hello:1.0
securityContext:
```
runAsUser: 2000
allowPrivilegeEscalation: false
```
注意：要开启容器的privileged权限，需要提前在kube-apiserver和kubelet启动时添加参数--allow-privileged=true，默认已添加。

|资料来源|

技术特点:https://www.cnblogs.com/sunsky303/p/11090540.html

Pod必备知识： SecurityContexts

所属技术领域：

|名词定义|

|技术特点|

|资料来源|

阿里云术语库

热门文章

最新文章

相关课程

相关电子书