Kubernetes 文档 / 概念 / 工作负载 / Pod / 用户命名空间

最新推荐文章于 2024-08-29 18:17:02 发布
最新推荐文章于 2024-08-29 18:17:02 发布
阅读量600 收藏 27
点赞数 25
分类专栏: k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houzhizhen/article/details/139058431
版权

Kubernetes 文档 / 概念 / 工作负载 / Pod / 用户命名空间

此文档从 Kubernetes 官网摘录
中文地址
英文地址

在容器中以 root 身份运行的进程可以在主机中以不同的(非 root)用户身份运行; 换句话说,该进程在用户命名空间内的操作具有完全的权限, 但在命名空间外的操作是无特权的。

你可以使用这个功能来减少被破坏的容器对主机或同一节点中的其他 Pod 的破坏。

准备开始

这是一个只对 Linux 有效的功能特性,且需要 Linux 支持在所用文件系统上挂载 idmap。 这意味着:

在节点上,你用于 /var/lib/kubelet/pods/ 的文件系统,或你为此配置的自定义目录, 需要支持 idmap 挂载。
Pod 卷中使用的所有文件系统都必须支持 idmap 挂载。

Linux 6.3 中支持 idmap 挂载的一些比较流行的文件系统是:btrfs、ext4、xfs、fat、 tmpfs、overlayfs。

此外,容器运行时及其底层 OCI 运行时必须支持用户命名空间。以下 OCI 运行时提供支持:

  • crun 1.9 或更高版本(推荐 1.13+ 版本)

此外,需要在容器运行时提供支持, 才能在 Kubernetes Pod 中使用这一功能:

  • CRI-O:1.25(及更高)版本支持配置容器的用户命名空间。

介绍

用户命名空间是一个 Linux 功能,允许将容器中的用户映射到主机中的不同用户。 此外,在某用户命名空间中授予 Pod 的权能只在该命名空间中有效,在该命名空间之外无效。

一个 Pod 可以通过将 pod.spec.hostUsers 字段设置为 false 来选择使用用户命名空间。

kubelet 将挑选 Pod 所映射的主机 UID/GID, 并以此保证同一节点上没有两个 Pod 使用相同的方式进行映射。

pod.spec 中的 runAsUser、runAsGroup、fsGroup 等字段总是指的是容器内的用户。 启用该功能时,有效的 UID/GID 在 0-65535 范围内。这以限制适用于文件和进程(runAsUser、runAsGroup 等)。

了解 Pod 的用户命名空间

在创建 Pod 时,默认情况下会使用几个新的命名空间进行隔离: 一个网络命名空间来隔离容器网络,一个 PID 命名空间来隔离进程视图等等。 如果使用了一个用户命名空间,这将把容器中的用户与节点中的用户隔离开来。

设置一个节点以支持用户命名空间

默认情况下,kubelet 会分配 0-65535 范围以上的 Pod UID/GID, 这是基于主机的文件和进程使用此范围内的 UID/GID 的假设,也是大多数 Linux 发行版的标准。 此方法可防止主机的 UID/GID 与 Pod 的 UID/GID 之间出现重叠。

kubelet 可以对 Pod 的用户 ID 和组 ID 使用自定义范围。要配置自定义范围,节点需要具有:

  • 系统中的用户 kubelet(此处不能使用任何其他用户名)。
  • 已安装二进制文件 getsubids(shadow-utils 的一部分)并位于 kubelet 二进制文件的 PATH 中。
  • kubelet 用户的从属 UID/GID 配置 (请参阅 man 5 subuid 和 man 5 subgid)

对于分配给 kubelet 用户的从属 ID 范围, 你必须遵循一些限制:

  • 启动 Pod 的 UID 范围的从属用户 ID 必须是 65536 的倍数,并且还必须大于或等于 65536。 换句话说,Pod 不能使用 0-65535 范围内的任何 ID;kubelet 施加此限制是为了使创建意外不安全的配置变得困难。

  • 从属 ID 计数必须是 65536 的倍数

  • 从属 ID 计数必须至少为 65536 x ,其中 是节点上可以运行的最大 Pod 数量。

  • 你必须为用户 ID 和组 ID 分配相同的范围。如果其他用户的用户 ID 范围与组 ID 范围不一致也没关系。

  • 所分配的范围不得与任何其他分配重叠。

  • 从属配置必须只有一行。换句话说,你不能有多个范围。

例如,你可以定义 /etc/subuid 和 /etc/subgid 来为 kubelet 用户定义以下条目:

# 格式为:
#   name:firstID:count of IDs
# 在哪里:
# - firstID 是 65536 (可能的最小值)
# - IDs 的数量是 110(默认数量限制)* 65536
kubelet:65536:7208960

与 Pod 安全准入检查的集成

如果你启用相关特性门控并创建了使用用户命名空间的 Pod,以下的字段不会被限制, 即使在执行了 Baseline 或 Restricted Pod 安全性标准的上下文中。这种行为不会带来安全问题, 因为带有用户命名空间的 Pod 内的 root 实际上指的是容器内的用户,绝不会映射到主机上的特权用户。 以下是在这种情况下不进行检查的 Pod 字段列表:

  • spec.securityContext.runAsNonRoot
  • spec.containers[*].securityContext.runAsNonRoot
  • spec.initContainers[*].securityContext.runAsNonRoot
  • spec.ephemeralContainers[*].securityContext.runAsNonRoot
  • spec.securityContext.runAsUser
  • spec.containers[*].securityContext.runAsUser
  • spec.initContainers[*].securityContext.runAsUser

限制

当 Pod 使用用户命名空间时,不允许 Pod 使用其他主机命名空间。 特别是,如果你设置了 hostUsers: false,那么你就不可以设置如下属性:

  • hostNetwork: true
  • hostIPC: true
  • hostPID: true
houzhizhen
关注
  • 25
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes核心概念 Pod
weixin_58519482的博客
06-27 713
参考链接: https://kubernetes.io/zh/docs/concepts/workloads/pods/Pod(豌豆荚) 是Kubernetes集群管理(创建、部署)与调度的最小计算单元,表示处于运行状态的一组容器Pod不是进程,而是容器运行的环境。一个Pod可以封装一个容器或多个容器(主容器或sidecar边车容器)一个pod内的多个容器之间共享部分命名空间,例如:Net Namespace,UTS Namespace,IPC Namespace及存储资源。
Kubernetes 文档 / 概念 / 工作负载 / 工作负载管理 / Job
houzhizhen的专栏
05-26 959
文档Kubernetes 官网摘录Job 会创建一个或者多个 Pod,并将继续重试 Pod 的执行,直到指定数量的 Pod 成功终止。随着 Pod 成功结束,Job 跟踪记录成功完成的 Pod 个数。当数量达到指定的成功个数阈值时,任务(即 Job)结束。删除 Job 的操作会清除所创建的全部 Pod。挂起 Job 的操作会删除 Job 的所有活跃 Pod,直到 Job 被再次恢复执行。一种简单的使用场景下,你会创建一个 Job 对象以便以一种可靠的方式运行某 Pod 直到完成。
Kubernetes 文档 / 概念 / 工作负载 / 工作负载管理 /ReplicaSet
houzhizhen的专栏
05-22 549
文档Kubernetes 官网摘录ReplicaSet 的目的是维护一组在任何时候都处于运行状态的 Pod 副本的稳定集合。因此,它通常用来保证给定数量的、完全相同的 Pod 的可用性。
Kubernetes 文档 / 概念 / 工作负载 / 工作负载管理 / Deployments
houzhizhen的专栏
05-22 250
文档Kubernetes 官网摘录一个 Deployment 为 Pod 和 ReplicaSet 提供声明式的更新能力。你负责描述 Deployment 中的目标状态,而 Deployment 控制器(Controller) 以受控速率更改实际状态, 使其变为期望状态。你可以定义 Deployment 以创建新的 ReplicaSet,或删除现有 Deployment, 并通过新的 Deployment 收养其资源。
Kubernetes 文档 / 概念 / 工作负载 / 工作负载管理 / CronJob
houzhizhen的专栏
05-26 782
spec.startingDeadlineSeconds 字段是可选的。它表示 Job 如果由于某种原因错过了调度时间,开始该 Job 的截止时间的秒数。过了截止时间,CronJob 就不会开始该 Job 的实例(未来的 Job 仍在调度之中)。例如,如果你有一个每天运行两次的备份 Job,你可能会允许它最多延迟 8 小时开始,但不能更晚, 因为更晚进行的备份将变得没有意义:你宁愿等待下一次计划的运行。对于错过已配置的最后期限的 Job,Kubernetes 将其视为失败的 Job。
Kubernetes 文档 / 概念 / 服务、负载均衡和联网
houzhizhen的专栏
05-27 458
文档Kubernetes 官网摘录。
Kubernetes 文档 / 概念 / 服务、负载均衡和联网 / EndpointSlice
houzhizhen的专栏
06-01 1297
文档Kubernetes 官网摘录Kubernetes 的 EndpointSlice API 提供了一种简单的方法来跟踪 Kubernetes 集群中的网络端点(network endpoints)。EndpointSlices 为 Endpoints 提供了一种可扩缩和可拓展的替代方案。
Kubernetes 文档 / 概念 / 服务、负载均衡和联网 / Ingress
houzhizhen的专栏
05-28 382
文档Kubernetes 官网摘录Ingress 是对集群中服务的外部访问进行管理的 API 对象,典型的访问方式是 HTTP。Ingress 可以提供负载均衡、SSL 终结和基于名称的虚拟托管。
Kubernetes 文档 / 概念 / 服务、负载均衡和联网 / Service 与 Pod 的 DNS
houzhizhen的专栏
06-09 680
文档Kubernetes 官网摘录。
kubernetes中文文档
06-04
根据提供的文档概要,我们可以对Kubernetes的核心概念、架构原理及其使用进行详细的解析与扩展。 ### Kubernetes简介 #### 1.1 基本概念 Kubernetes(简称K8s)是一个开源系统,用于自动化部署、扩展以及管理容器...
Kubernetes中文文档
11-04
- **工作原理**:描述Kubernetes如何通过这些组件来实现容器的自动调度和负载均衡。 - **优势**:强调Kubernetes能够提高应用的可伸缩性、可用性和灵活性。 **2.2 创建Kubernetes集群** - **部署方案**:包括在...
kubernetes官方文档中文版
04-13
Kubernetes使用标识符来唯一标识集群中的各种实体,比如Pod、服务、命名空间等。 #### Namespaces 命名空间用于逻辑上的隔离Kubernetes资源,使得不同的项目和团队能够使用同一集群而互不干扰。 #### Annotations ...
KubeSphere+Kubernetes+GitLab+Harbor+SonarQube构建企业CI/CD持续集成持续发布平台
背锅神童的博客
03-07 859
kubesphere、kubernetes、sonar、gitlab、CI/CD
k8s安全
ljj19910401的博客
08-29 509
Kubernetes(k8s)的安全机制是围绕保护其API Server来设计的,主要包括认证(Authentication)、鉴权(Authorization)和准入控制(Admission Control)三个核心环节。
k8s dial tcp 10.97.0.1:443: i/o timeout
最新发布
weixin_40548182的博客
08-29 25
使用 kubeadm 部署完 k8s ,使用 projectcalico/tigera-operator 这个 chart 部署 calico ,卡在了 tigera-operator 这个 namespace 下的 pod tigera-operator-54b47459dd-n4x72,该 pod 一直重启,查看该 pod 日志发现如下报错。查看 endpoints,发现 kubernetes 的 ENDPOINTS 地址不对,这个地址是 node 上另外一个段的,这个段不是所有的主机都能通。
K8S ReplicaSet
王小工小工历程
08-29 197
Kubernetes(通常拼写为 Kubernetes,而不是 kubernate)中,ReplicaSet(副本集)是一种 Kubernetes 控制器,它确保由它管理的 Pod容器组)的数量与预期的副本数量相匹配。如果 Pod 被删除或因为某些原因终止了(比如节点故障),ReplicaSet 会自动创建新的 Pod 来替换它们,以维持预期的副本数量。ReplicaSet 是 Kubernetes 部署(Deployments)和状态集(StatefulSets)等更高级抽象背后的关键组件之一。
k8s的组件以及安装
Hai990218的博客
08-28 1008
分为主节点和node节点,主节点就是核心,kube-apiserver大脑:所有的一切都要通过kube-apiserver来调用,所有的一切最终都要保存到etcd中,etcd就是保存集群信息的数据库,怎么部署都是靠kube-controller-manager,往哪里部署靠kube-scheduler。到了node节点上,kubelet负责真正部署、控制容器,跨主机网络之间通信通过kube-proxy,服务是由底层docker来启动的。流程图kube-apiserver先接受信息,kube-
kubenetes--资源调度
小李学不完的博客
08-25 1025
资源调度:Label和Selector:标签(Label)、选择器(Selector)。Deployment--无状态应用:功能、配置文件。StatefulSet:功能、配置文件。DaemonSet:配置文件、不指定Node节点、指定Node节点、滚动更新。HPA自动扩/缩容:开启指标服务、cpu、内存指标监控、自定义metrics。
Kubernetes中文文档:核心概念与原理详解
"kubernetes中文文档包含Kubernetes的基本概念、核心原理、核心组件以及各种资源对象的详细介绍,旨在帮助读者深入理解Kubernetes集群的运作机制和管理工具。" Kubernetes是目前广泛使用的容器编排系统,它允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值