K8S为 Pod 或容器配置安全上下文securityContext,解决Docker容器限制文件句柄数的问题

已于 2023-09-26 13:46:27 修改
阅读量8.1k 收藏 11
点赞数
分类专栏: K8S 问题解决 文章标签: docker kubernetes
于 2020-09-12 11:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anqixiang/article/details/108546101
版权

文章目录

一、问题

我需要在容器里面把最大文件句柄数设置为204800,但发现被拒绝。这是Docker自身安全机制导致的

浅谈Docker安全性支持

在这里插入图片描述

二、解决方法

方法一:简单粗暴

设置容器为特权模式即可,但安全性不高

在yaml文件添加如下两行

securityContext:
      privileged: true

在这里插入图片描述

kubectl apply -f pod-01.yaml			#发现有如下报错

在这里插入图片描述
需要把之前的Pod删除,再执行kubectl apply

kubectl delete -f pod-01.yaml
kubectl apply -f pod-01.yaml

在这里插入图片描述
这次不报错了,进入到容器里面

kubectl exec -it pod-01 bash
ulimit -n 204800

设置成功
在这里插入图片描述

方法二:温柔可佳

为容器添加capabilities中的CAP_SYS_RESOURCE能力,安全性高
在这里插入图片描述

securityContext:
      capabilities:
        add: ["SYS_RESOURCE"]

在这里插入图片描述

三、参考文章

Capability能力介绍点这里
Linux capability详解

运维@小兵
关注
专栏目录
二十二、Pod安全设置详解
爱吃西红柿的博客
02-19 1249
k8s可以为pod设置应用程序运行所需的权限或者访问控制等安全设置,涉及多种Linux Kernel安全相关的系统参,这些安全设置被称为Security Context,在pod或者Conntainer级别通过securityContext字段进行设置。
云原生之容器编排实践-在K8S集群中使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1673
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
非root用户运行容器K8S SecurityContext
小单的博客专栏
08-04 5030
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
anotations资源注释-securitycontext资源安全上下文
最新发布
weixin_46466657的博客
07-20 327
资源注解,annotations就是对资源进行注释应用场景:给资源(例如pod资源)提供配置信息,类似于帮助信息早期使用比较多,很多开源组件一般都会使用。
K8s进阶6——pod安全上下文(1),重难点整理
2401_84138785的博客
04-07 1137
2.创建pod,使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看,是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户,则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。
实战:k8sSecurity Context-2021.12.05
weixin_39246554的博客
12-05 1031
目录 文章目录目录实验环境实验软件1、Security Context2、为 Pod 设置 Security Context3、为容器设置 Security Context4、设置 Linux Capabilities1.Linux Capabilities(1)什么是 Capabilitie(2)如何使用 Capabilities2.Container Runtime Capabilities3.Kubernetes 配置 Capabilities注意事项1.busybox容器命令参:60m写法如何表.
【收藏】k8s使用securityContext和sysctl
学亮编程手记
07-28 612
https://blog.csdn.net/dianfu2892/article/details/101467081 apiVersion: v1 kind: Pod metadata: name: security-context-demo-4 spec: containers: - name: sec-ctx-4 image: gcr.io/google-samples/node-hello:1.0 securityContext: privileged: t
k8s pod资源文件详解与应用
m0_67758799的博客
09-12 462
程序容器,即用户程序所在的容器量可多可少,由我们自行配置Pause容器,这是每个Pod都会有的一个根容器,它的作用有两个:可以以它为依据,评估整个Pod的健康状态可以在根容器上设置Ip地址,其它容器都此Ip(Pod IP),以实现Pod内部的网路通信这里是Pod内部的通讯,Pod的之间的通讯采用虚拟二层网络技术来实现,我们当前环境用的是FlannelapiVersion : v1 #必选,版本号,例如v1kind : Pod   #必选,资源类型,例如 Pod
【云原生之kubernetes实战】在k8s环境下部署Mikochi文件管理工具(配置持久化存储)
jks212454的博客
02-17 1128
【云原生之kubernetes实战】在k8s环境下部署Mikochi文件管理工具(配置持久化存储)
k8sPod安全策略
weixin_37337210的博客
01-20 1583
导读 Pod容器想要获取集群的资源信息,需要配置角色和ServiceAccount进行授权。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod安全策略进行管理。 Pod特权模式 容器内的进程获得的特权几乎与容器外的进程相同。使用特权模式,可以更容易地将网络和卷插件编写为独立的pod,不需要编译到kubelet中。 PodSecurityPolicy 官网定义 Pod 安全策略(Pod Security Polic
docker创建容器配置了--privileged -u root --entrypoint使用k8s使用镜像创建pod是不是也要配置超级用户
06-03
因此,要在Kubernetes中创建一个具有特权的容器,你需要在Pod级别上进行配置,而不是在容器级别上进行配置。 要在Kubernetes中创建一个具有特权的Pod,你需要在Pod的spec中添加"securityContext"字段,并设置...
从零开始入门 K8s | K8s 安全之访问控制
阿里巴巴云原生的博客
03-17 450
作者 | 匡大虎   阿里巴巴技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 27 讲,点击直达课程页面。 关注“阿里巴巴云原生”公众号,回复关键词**“入门”**,即可下载从零入门 K8s 系列文章 PPT。 **导读:**访问控制是云原生安全的一个重要组成部分,也是 K8s 集群在多租环境下必要且基本的安全加固手段。在 K8s 体系中,访问控制又...
Kubernetes安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 8058
简介 安全上下文Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件限制单个程
k8s_SecurityContext(基础)的零散笔记
酱园里一鸭鸭の笔记
05-10 1713
pod.spec.securityContext SecurityContext holds pod-level security attributes and common container settings. Optional: Defaults to empty. See type description for default values of each field. pod运行时,其中的容器可以被提权为节点管理员,需要禁止这种行为。 pod.spec.containers.pod_name.s
kubernetes--安全上下文Security Context
热门推荐
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
SecurityContext
会飞的猪
02-22 165
/* * Copyright Huawei Symantec Technologies Co.,Ltd. 2008-2009. All rights reserved. * * */ package com.huaweisymantec.core.service; import java.util.Collection; import org.springfr...
k8s安全机制:Pod Security Policy与Security Context
风向决定发型丶的博客
11-03 922
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
【云原生】K8s PSP 和 securityContext 介绍与使用
匠人精神,持之以恒!
12-31 1697
授予users和service accounts创建或更新pods使用资源的权限。这是一种集群级别的资源类型,用来限制pod对敏感资源的使用。它能够控制Pod的各个安全方面。是否允许Pod使用宿主节点的PID,IPC,网络命名空间。Pod是否允许绑定到宿主节点端口。容器运行时允许使用的用户ID。是否允许特权模式的POD。【温馨提示】PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
Kubernetes SecurityContext 安全上下文 容器添加禁用内核功能及阻止对容器文件系统的写入
小楼一夜听春雨,深巷明朝卖杏花
08-09 1019
过去, 传统的 UNIX 实现只区分特权和非特权进程, 但是经过多年的发展, Linux已经可以通过内核功能支持更细粒度的权限系统。 相比于让容器运行在特权模式下以给予其无限的权限, 一个更加安全的做法是只给予它使用真正需要的内核功能的权限。 Kubernetes允许为特定的容器添加内核功能, 或禁用部分内核功能, 以允许对容器进行 更加精细的权限控制, 限制攻击者潜在侵入的影响。 例如, 一个容器通常不允许修改系统时间(硬件时钟的时间)。 可以通过在pod-with-defaults-pod中修.
Kubernetes Pod安全上下文详解
`pod.spec.securityContext` 是针对整个Pod安全上下文,它包含了一些适用于所有容器的默认安全设置。例如,`privileged`字段决定了容器是否以特权模式运行。特权模式的容器具有与主机相同的权限,这通常用于需要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值