云原生|kubernetes|pod或容器的安全上下文配置解析

简介: 云原生|kubernetes|pod或容器的安全上下文配置解析

前言:

安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。 安全上下文包括但不限于:

  • 自主访问控制(Discretionary Access Control): 基于用户 ID(UID)和组 ID(GID) 来判定对对象(例如文件)的访问权限。
  • 安全性增强的 Linux(SELinux): 为对象赋予安全性标签。
  • 以特权模式或者非特权模式运行。
  • Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。
  • AppArmor:使用程序配置来限制个别程序的权能。
  • Seccomp:过滤进程的系统调用。
  • allowPrivilegeEscalation:控制进程是否可以获得超出其父进程的特权。 此布尔值直接控制是否为容器进程设置 no_new_privs标志。 当容器满足一下条件之一时,allowPrivilegeEscalation 总是为 true(一般是false的)
  • 以特权模式运行,或者
  • 具有 CAP_SYS_ADMIN 权能
  • readOnlyRootFilesystem:以只读方式加载容器的根文件系统(一般是true的,true时,exec进容器不能更改文件系统,例如,在容器内touch文件,删除文件,新建文件夹等等操作都会被禁止

一,

安全上下文的示例

没有配置安全上下文的pod:

[root@k8s-master ~]# cat nosecurity_pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
  name: busybox-nosecurity
spec:
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - image: busybox
    name: busybox-nosecurity
    command: [ "sh","-c","sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

配置了安全上下文的pod:

 cat security_pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
  name: busybox-security
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - image: busybox
    name: busybox-security
    command: [ "sh","-c","sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo2
    resources: {}
    securityContext:
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

若要为 Container 设置安全性配置,可以在 Container 清单中包含 securityContext 字段。securityContext 字段的取值是一个 SecurityContext 对象。你为 Container 设置的安全性配置仅适用于该容器本身,并且所指定的设置在与 Pod 层面设置的内容发生重叠时,会重写 Pod 层面的设置。Container 层面的设置不会影响到 Pod 的卷。说人话就是pod和容器两个层面都可以设置securitycontext,如果是多容器,比如,某个pod内有A和B两个容器,pod和容器B分别设置了securitycontext,那么,A容器使用pod的securitycontext,B容器使用它自己设置的securitycontext(这一段比较绕口,是需要仔细阅读理解的哦)

上面这个示例就仅仅设置了pod的securitycontext,但容器是继承了pod的securitycontext

进入没有配置安全上下文的pod:

可以看到是使用的root权限,可以任意做手脚

[root@k8s-master ~]# kubectl exec -it busybox-nosecurity -- /bin/sh
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ # 
/ # ps
PID   USER     TIME  COMMAND
    1 root      0:00 sleep 1h
   28 root      0:00 /bin/sh
   35 root      0:00 ps
/ # rm -rf 
.dockerenv  bin/        data/       dev/        etc/        proc/       root/       sys/        tmp/        usr/        var/
/ # rm -rf .dockerenv 
/ # 

进入配置了安全上下文的容器

可以看到无法使用root权限,安全性大大的提高了

[root@k8s-master ~]# kubectl exec -it busybox-security -- /bin/sh
/ $ id
uid=1000 gid=3000 groups=2000
/ $ ps
PID   USER     TIME  COMMAND
    1 1000      0:00 sleep 1h
   25 1000      0:00 /bin/sh
   33 1000      0:00 ps
/ $ rm -rf home/
rm: can't remove 'home': Read-only file system
/ $ ls -al /data/demo2/
total 0
drwxrwsrwx    2 root     2000             6 Jan  8 20:00 .
drwxr-xr-x    3 root     root            19 Jan  8 20:00 ..
/ $ touch aaa
touch: aaa: Read-only file system

二,

精细化的安全上下文权限分配     capabilities

默认情况下 Docker 会删除必须的 capabilities 之外的所有 capabilities,因为在容器中我们经常会以 root 用户来运行,使用 capabilities 后,容器中的使用的 root 用户权限就比我们平时在宿主机上使用的 root 用户权限要少很多了,这样即使出现了安全漏洞,也很难破坏或者获取宿主机的 root 权限,所以 Docker 支持 Capabilities 对于容器的安全性来说是非常有必要的,当然,kubernetes的底层是docker,所以kubernetes也是支持capabilities的

在说到这个capabilities之前,需要说一下特权容器,一般的容器是无法获取宿主机的内核参数的,但某些情况下,有和宿主机的内核交互的需求,容器中有些应用程序可能需要访问宿主机设备、修改内核等需求,在默认情况下, 容器没这个有这个能力,这个时候,就需要特权容器了,但这个特权容器是非常不安全的:

containers:
- image: lizhenliang/flask-demo:root
  name: web
  securityContext:
    privileged: true

启用特权模式就意味着为容器提供了访问Linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。

这个capabilities不是特别常见,coredns的部署里可以看到:

        securityContext:
          allowPrivilegeEscalation: false
          capabilities:
            add:
            - NET_BIND_SERVICE
            drop:
            - all
          readOnlyRootFilesystem: true

具体的capabilities有哪些呢?capabilities(7) - Linux manual page  这个网站有比较详细的介绍,下图是一个简略的介绍:

例如下面这个示例,容器虽然是root用户,但只给了一个无关紧要的kill 进程权限,因此,这个pod是无法ping其它的pod的

cat security_pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
  name: busybox-security
spec:
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - image: busybox
    name: busybox-security
    command: [ "sh","-c","sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo2
    resources: {}
    securityContext:
      capabilities:
        drop:
          - ALL
        add: ["KILL"]
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

进入容器后,虽然是root用户,但是是无法执行需要高网络权限的命令的(ping命令需要网络权限)

[root@k8s-master ~]# kubectl exec -it busybox-security -- /bin/sh
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ # ping 10.244.0.13
PING 10.244.0.13 (10.244.0.13): 56 data bytes
ping: permission denied (are you root?)

上述文件修改成如下:

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
  name: busybox-security
spec:
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - image: busybox
    name: busybox-security
    command: [ "sh","-c","sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo2
    resources: {}
    securityContext:
      capabilities:
        drop:
          - ALL
        add: ["NET_ADMIN","NET_RAW"]
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

执行此文件后,就可以愉快的在容器内使用ping命令了:

[root@k8s-master ~]# kubectl exec -it busybox-security -- /bin/sh
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ # ping 10.244.0.13
PING 10.244.0.13 (10.244.0.13): 56 data bytes
64 bytes from 10.244.0.13: seq=0 ttl=62 time=1.142 ms
64 bytes from 10.244.0.13: seq=1 ttl=62 time=0.889 ms
^C
--- 10.244.0.13 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.889/1.015/1.142 ms

小结:

securitycontext是对于pod和容器的安全性提升有非常大帮助的一个选项,因此,如果没有测试的需求,最好还是启用securitycontext,并且禁用privileged特权容器,以免对宿主机造成破坏。

相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
目录
相关文章
|
域名解析 网络协议 API
【Azure Container App】配置容器应用的缩放规则 Managed Identity 连接中国区 Azure Service Bus 问题
本文介绍了在 Azure Container Apps 中配置基于自定义 Azure Service Bus 的自动缩放规则时,因未指定云环境导致的域名解析错误问题。解决方案是在扩展规则中添加 `cloud=AzureChinaCloud` 参数,以适配中国区 Azure 环境。内容涵盖问题描述、原因分析、解决方法及配置示例,适用于使用 KEDA 实现事件驱动自动缩放的场景。
253 1
|
存储 缓存 网络协议
阿里云特惠云服务器99元与199元配置与性能和适用场景解析:高性价比之选
2025年,阿里云长效特惠活动继续推出两款极具吸引力的特惠云服务器套餐:99元1年的经济型e实例2核2G云服务器和199元1年的通用算力型u1实例2核4G云服务器。这两款云服务器不仅价格亲民,而且性能稳定可靠,为入门级用户和普通企业级用户提供了理想的选择。本文将对这两款云服务器进行深度剖析,包括配置介绍、实例规格、使用场景、性能表现以及购买策略等方面,帮助用户更好地了解这两款云服务器,以供参考和选择。
|
域名解析 应用服务中间件 Shell
使用nps配置内网穿透加域名解析
使用nps配置内网穿透加域名解析
1265 77
|
11月前
|
缓存 Ubuntu Docker
Ubuntu环境下删除Docker镜像与容器、配置静态IP地址教程。
如果遇见问题或者想回滚改动, 可以重启系统.
655 16
|
10月前
|
存储 Kubernetes 网络安全
关于阿里云 Kubernetes 容器服务(ACK)添加镜像仓库的快速说明
本文介绍了在中国大陆地区因网络限制无法正常拉取 Docker 镜像的解决方案。作者所在的阿里云 Kubernetes 集群使用的是较旧版本的 containerd(1.2x),且无法直接通过 SSH 修改节点配置,因此采用了一种无需更改 Kubernetes 配置文件的方法。通过为 `docker.io` 添加 containerd 的镜像源,并使用脚本自动修改 containerd 配置文件中的路径错误(将错误的 `cert.d` 改为 `certs.d`),最终实现了通过多个镜像站点拉取镜像。作者还提供了一个可重复运行的脚本,用于动态配置镜像源。虽然该方案能缓解镜像拉取问题,
1026 3
|
弹性计算 Kubernetes 数据处理
KubeRay on ACK:更高效、更安全
阿里云 ACK 以托管组件化的方式给客户提供快速搭建Ray集群的能力,并通过结合使用阿里云的调度,存储,日志与监控,给用户提供更佳使用体验。
|
11月前
|
数据建模 应用服务中间件 PHP
配置nginx容器和php容器协同工作成功,使用ip加端口的方式进行通信
本示例演示如何通过Docker挂载同一宿主目录至Nginx与PHP容器,实现PHP项目运行环境配置。需注意PHP容器中监听地址修改为0.0.0.0:9000,并调整Nginx配置中fastcgi_pass指向正确的IP与端口。同时确保Nginx容器中/var/www/html权限正确,以避免访问问题。
配置nginx容器和php容器协同工作成功,使用ip加端口的方式进行通信
|
监控 Shell Linux
Android调试终极指南:ADB安装+多设备连接+ANR日志抓取全流程解析,覆盖环境变量配置/多设备调试/ANR日志分析全流程,附Win/Mac/Linux三平台解决方案
ADB(Android Debug Bridge)是安卓开发中的重要工具,用于连接电脑与安卓设备,实现文件传输、应用管理、日志抓取等功能。本文介绍了 ADB 的基本概念、安装配置及常用命令。包括:1) 基本命令如 `adb version` 和 `adb devices`;2) 权限操作如 `adb root` 和 `adb shell`;3) APK 操作如安装、卸载应用;4) 文件传输如 `adb push` 和 `adb pull`;5) 日志记录如 `adb logcat`;6) 系统信息获取如屏幕截图和录屏。通过这些功能,用户可高效调试和管理安卓设备。
10608 2
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
470 0
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
|
存储 运维 Kubernetes
容器数据保护:基于容器服务 Kubernetes 版(ACK)备份中心实现K8s存储卷一键备份与恢复
阿里云ACK备份中心提供一站式容器化业务灾备及迁移方案,减少数据丢失风险,确保业务稳定运行。

推荐镜像

更多