Windows 节点的安全
本页面介绍了特定于 Windows 操作系统的安全注意事项和最佳实践。
节点上 Secret 数据的保护
在 Windows 上,Secret 中的数据以明文形式写入节点的本地存储(而在 Linux 上则使用 tmpfs/内存文件系统)。作为集群操作员,您应该采取以下两项额外措施
- 使用文件 ACL 保护 Secret 的文件位置。
- 使用 BitLocker 应用卷级别加密。
容器用户
可以为 Windows Pod 或容器指定 RunAsUsername,以便以特定用户身份执行容器进程。这大致相当于 RunAsUser。
Windows 容器提供两个默认用户帐户:ContainerUser 和 ContainerAdministrator。这两个用户帐户之间的区别在 Microsoft 的“何时使用 ContainerAdmin 和 ContainerUser 用户帐户”文档(位于“保护 Windows 容器安全”中)中进行了介绍。
在容器构建过程中,可以将本地用户添加到容器镜像。
注意
- 默认情况下,基于 Nano Server 的镜像以
ContainerUser身份运行 - 默认情况下,基于 Server Core 的镜像以
ContainerAdministrator身份运行
Windows 容器还可以通过利用 组托管服务帐户 以 Active Directory 身份运行
Pod 级别的安全隔离
Windows 节点不支持特定于 Linux 的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)。
Windows 上 不支持 特权容器。相反,可以在 Windows 上使用 HostProcess 容器 来执行 Linux 上由特权容器执行的许多任务。
上次修改时间:2022 年 6 月 18 日下午 4:28 PST:批量修复链接 (3) (d705d9ed1c)