使用 AppArmor 限制容器对资源的访问
Kubernetes v1.4 [beta]此页面展示了如何在节点上加载 AppArmor 配置文件并在 Pod 中强制执行这些配置文件。要了解有关 Kubernetes 如何使用 AppArmor 限制 Pod 的更多信息,请参阅 Pod 和容器的 Linux 内核安全约束.
目标
- 查看如何在节点上加载配置文件的示例
- 了解如何在 Pod 上强制执行配置文件
- 了解如何检查配置文件是否已加载
- 查看违反配置文件时会发生什么
- 查看无法加载配置文件时会发生什么
开始之前
AppArmor 是一个可选的内核模块和 Kubernetes 功能,因此在继续之前,请验证它是否在您的节点上受支持
AppArmor 内核模块已启用 - 为了让 Linux 内核强制执行 AppArmor 配置文件,必须安装并启用 AppArmor 内核模块。一些发行版默认情况下会启用该模块,例如 Ubuntu 和 SUSE,而许多其他发行版提供可选支持。要检查该模块是否已启用,请检查
/sys/module/apparmor/parameters/enabled文件cat /sys/module/apparmor/parameters/enabled YKubelet 在显式配置了 AppArmor 的 Pod 被接收之前,会验证 AppArmor 是否在主机上启用。
容器运行时支持 AppArmor - 所有常见的 Kubernetes 支持的容器运行时都应该支持 AppArmor,包括 containerd 和 CRI-O。请参阅相应的运行时文档并验证集群是否满足使用 AppArmor 的要求。
配置文件已加载 - 通过指定每个容器应运行的 AppArmor 配置文件,将 AppArmor 应用于 Pod。如果指定的配置文件中任何一个未在内核中加载,Kubelet 将拒绝该 Pod。您可以通过检查
/sys/kernel/security/apparmor/profiles文件来查看哪些配置文件已加载在节点上。例如ssh gke-test-default-pool-239f5d02-gyn2 "sudo cat /sys/kernel/security/apparmor/profiles | sort"apparmor-test-deny-write (enforce) apparmor-test-audit-write (enforce) docker-default (enforce) k8s-nginx (enforce)有关在节点上加载配置文件的更多详细信息,请参阅 使用配置文件设置节点.
保护 Pod
注意
在 Kubernetes v1.30 之前,AppArmor 是通过注释指定的。使用文档版本选择器查看使用此已弃用 API 的文档。可以在 Pod 级别或容器级别指定 AppArmor 配置文件。容器 AppArmor 配置文件优先于 Pod 配置文件。
securityContext:
appArmorProfile:
type: <profile_type>
其中 <profile_type> 是以下之一
RuntimeDefault使用运行时的默认配置文件Localhost使用在主机上加载的配置文件(见下文)Unconfined在没有 AppArmor 的情况下运行
有关 AppArmor 配置文件 API 的完整详细信息,请参阅 API 参考.
要验证配置文件是否已应用,您可以通过检查其 proc 属性来检查容器的根进程是否使用正确的配置文件运行
kubectl exec <pod_name> -- cat /proc/1/attr/current
输出应类似于以下内容
cri-containerd.apparmor.d (enforce)
示例
此示例假设您已经设置了支持 AppArmor 的集群。
首先,将您要使用的配置文件加载到您的节点上。此配置文件阻止所有文件写入操作
#include <tunables/global>
profile k8s-apparmor-example-deny-write flags=(attach_disconnected) {
#include <abstractions/base>
file,
# Deny all file writes.
deny /** w,
}
配置文件需要加载到所有节点上,因为您不知道 Pod 将被调度到哪里。对于此示例,您可以使用 SSH 安装配置文件,但在 使用配置文件设置节点 中讨论了其他方法。
# This example assumes that node names match host names, and are reachable via SSH.
NODES=($(kubectl get nodes -o name))
for NODE in ${NODES[*]}; do ssh $NODE 'sudo apparmor_parser -q <<EOF
#include <tunables/global>
profile k8s-apparmor-example-deny-write flags=(attach_disconnected) {
#include <abstractions/base>
file,
# Deny all file writes.
deny /** w,
}
EOF'
done
接下来,使用 deny-write 配置文件运行一个简单的“Hello AppArmor” Pod
apiVersion: v1
kind: Pod
metadata:
name: hello-apparmor
spec:
securityContext:
appArmorProfile:
type: Localhost
localhostProfile: k8s-apparmor-example-deny-write
containers:
- name: hello
image: busybox:1.28
command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]
kubectl create -f hello-apparmor.yaml
您可以通过检查 /proc/1/attr/current 来验证容器是否确实使用该配置文件运行
kubectl exec hello-apparmor -- cat /proc/1/attr/current
输出应为
k8s-apparmor-example-deny-write (enforce)
最后,您可以查看违反配置文件(写入文件)时会发生什么
kubectl exec hello-apparmor -- touch /tmp/test
touch: /tmp/test: Permission denied
error: error executing remote command: command terminated with non-zero exit code: Error executing in Docker Container: 1
最后,查看尝试指定未加载的配置文件时会发生什么
kubectl create -f /dev/stdin <<EOF
apiVersion: v1
kind: Pod
metadata:
name: hello-apparmor-2
spec:
securityContext:
appArmorProfile:
type: Localhost
localhostProfile: k8s-apparmor-example-allow-write
containers:
- name: hello
image: busybox:1.28
command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]
EOF
pod/hello-apparmor-2 created
虽然 Pod 已成功创建,但进一步检查将显示它卡在 pending 状态
kubectl describe pod hello-apparmor-2
Name: hello-apparmor-2
Namespace: default
Node: gke-test-default-pool-239f5d02-x1kf/10.128.0.27
Start Time: Tue, 30 Aug 2016 17:58:56 -0700
Labels: <none>
Annotations: container.apparmor.security.beta.kubernetes.io/hello=localhost/k8s-apparmor-example-allow-write
Status: Pending
...
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Scheduled 10s default-scheduler Successfully assigned default/hello-apparmor to gke-test-default-pool-239f5d02-x1kf
Normal Pulled 8s kubelet Successfully pulled image "busybox:1.28" in 370.157088ms (370.172701ms including waiting)
Normal Pulling 7s (x2 over 9s) kubelet Pulling image "busybox:1.28"
Warning Failed 7s (x2 over 8s) kubelet Error: failed to get container spec opts: failed to generate apparmor spec opts: apparmor profile not found k8s-apparmor-example-allow-write
Normal Pulled 7s kubelet Successfully pulled image "busybox:1.28" in 90.980331ms (91.005869ms including waiting)
事件提供错误消息及其原因,具体措辞取决于运行时
Warning Failed 7s (x2 over 8s) kubelet Error: failed to get container spec opts: failed to generate apparmor spec opts: apparmor profile not found
管理
使用配置文件设置节点
Kubernetes 1.30 未提供任何用于将 AppArmor 配置文件加载到节点上的内置机制。可以通过自定义基础设施或工具(如 Kubernetes 安全配置文件操作员)加载配置文件。
调度程序不知道哪些配置文件加载到哪个节点上,因此必须将所有配置文件加载到每个节点上。另一种方法是在节点上为每个配置文件(或配置文件类别)添加节点标签,并使用 节点选择器 来确保 Pod 运行在具有所需配置文件的节点上。
编写配置文件
正确指定 AppArmor 配置文件可能很棘手。幸运的是,有一些工具可以帮助您
aa-genprof和aa-logprof通过监控应用程序的活动和日志并承认其采取的操作来生成配置文件规则。有关进一步说明,请参阅 AppArmor 文档.- bane 是一个用于 Docker 的 AppArmor 配置文件生成器,它使用简化的配置文件语言。
要调试 AppArmor 问题,您可以检查系统日志以查看具体拒绝了什么。AppArmor 将详细消息记录到 dmesg,通常可以在系统日志或通过 journalctl 中找到错误。有关更多信息,请参阅 AppArmor 故障.
指定 AppArmor 限制
注意
在 Kubernetes v1.30 之前,AppArmor 是通过注释指定的。使用文档版本选择器查看使用此已弃用 API 的文档。安全上下文中的 AppArmor 配置文件
您可以在容器的 securityContext 或 Pod 的 securityContext 上指定 appArmorProfile。如果在 Pod 级别设置配置文件,它将用作 Pod 中所有容器(包括 init、sidecar 和临时容器)的默认配置文件。如果同时设置了 Pod 和容器 AppArmor 配置文件,将使用容器的配置文件。
AppArmor 配置文件有两个字段
type (必需) - 指示将应用哪种 AppArmor 配置文件。有效选项包括
Localhost- 在节点上预加载的配置文件(由
localhostProfile指定)。 RuntimeDefault- 容器运行时的默认配置文件。
Unconfined- 不进行 AppArmor 强制执行。
localhostProfile - 要使用的节点上加载的配置文件的名称。配置文件必须在节点上预先配置才能正常工作。仅当 type 为 Localhost 时,才必须提供此选项。
下一步
其他资源