Kubernetes SecurityContext 安全上下文 特权模式运行pod

已于 2023-08-09 16:22:54 修改
阅读量6k 收藏 6
点赞数 3
分类专栏: Kubernetes 安全 文章标签: kubernetes
于 2021-08-06 09:13:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/119443004
版权

使用特权模式运行 pod 

有时pod 需要做它们的宿主节点上能够做的任何事,例如操作被保护的系统设备,或使用其他在通常容器中不能使用的内核功能 ,这种 pod 样例就是 kube- proxy pod ,该 pod 需要修改宿主机的 iptables规则 来让k ub ernet es 中的服务规 生效。
使用 kubeadm 部署集群时,你会看到每个节点上都运行了 kube- proxy pod , 并且可以查 YAML  描述文件中所有使用到的特殊特性。 
[root@k8s-master ~]# kubectl get pod kube-proxy-7wgls -n kube-system -o yaml | grep "privileged: true"
      privileged: true

为获取宿主机内核的完整权限,该 pod 需要在特权模式下运行。这可以通过将容器securityContext 中的 privileged 设置为true实现 可以通过以下代码清单中的YAML文件创建一个特权模式的pod:(这个容器将在特权模式下运行)

[root@k8s-master ~]# cat test.yaml 
apiVersion: v1 
kind: Pod 
metadata: 
  name: pod-privileged
spec: 
  containers: 
  - name: main
    image: alpine 
    command: ["/bin/sleep","99999"] 
    securityContext: 
      privileged: true
部署这个, 然后与之前部署的非特权模式的 pod 做对比, 熟悉 l inux  的读者会知道 inux 中有 个叫作 /d ev 的特殊目录, 该目录包含系统中所有设备对应的设备文件,这些文件不是磁盘上的常规文件,而是用于与设备通信的特殊文, 通过列出/dev目录下文件的方式查看先前部署的非特权模式容器 中的设备,如以下代码清单所示。
非特权pod可用的设备列表: 
[root@k8s-master ~]# kubectl get pod
NAME                     READY   STATUS              RESTARTS   AGE
nginx-6799fc88d8-drb2s   1/1     Running             3          263d

[root@k8s-master ~]# kubectl exec -it nginx-6799fc88d8-drb2s  sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
# ls /dev
core  fd  full	mqueue	null  ptmx  pts  random  shm  stderr  stdin  stdout  termination-log  tty  urandom  zero
这个相当短的列表己经列出了全部的设备,将这个列表与下面 列表比较。下 面的列表列出了在特权 pod  中能看到的特权设备。
特权pod可用的设备列表: 
[root@k8s-master ~]# kubectl exec -it pod-privileged  sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/ # ls /dev
agpgart             mcelog              shm                 tty2                tty39               tty58               vcs3
autofs              mem                 snapshot            tty20               tty4                tty59               vcs4
bsg                 mqueue              snd                 tty21               tty40               tty6                vcs5
btrfs-control       net                 sr0                 tty22               tty41               tty60               vcs6
core                network_latency     stderr              tty23               tty42               tty61               vcsa
cpu                 network_throughput  stdin               tty24               tty43               tty62               vcsa1
cpu_dma_latency     null                stdout              tty25               tty44               tty63               vcsa2
crash               nvram               termination-log     tty26               tty45               tty7                vcsa3
dm-0                oldmem              tty                 tty27               tty46               tty8                vcsa4
dm-1                port                tty0                tty28               tty47               tty9                vcsa5
dri                 ppp                 tty1                tty29               tty48               ttyS0               vcsa6
fb0                 ptmx                tty10               tty3                tty49               ttyS1               vfio
fd                  pts                 tty11               tty30               tty5                ttyS2               vga_arbiter
full                random              tty12               tty31               tty50               ttyS3               vhci
fuse                raw                 tty13               tty32               tty51               uhid                vhost-net
hpet                rtc0                tty14               tty33               tty52               uinput              vmci
hwrng               sda                 tty15               tty34               tty53               urandom             vsock
input               sda1                tty16               tty35               tty54               usbmon0             zero
kmsg                sda2                tty17               tty36               tty55               vcs
loop-control        sg0                 tty18               tty37               tty56               vcs1
mapper              sg1                 tty19               tty38               tty57               vcs2
由于完整的设备列表过长, 以上没有完整列出所有的设备,但这已经足以证明这个设备列表远远长于之前的列表。 事实上, 特权模式的pod可以看到宿主节点上的所有设备。 这意味着它可以自由使用任何设备。
举个例子, 如果要在树苺派上运行 个pod, 用这个pod 来控制相连的LED, 那么必须使用特权模式运行这个pod。
富士康质检员张全蛋
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis-operator:一个基于golang的redis运算符,它将覆盖Kubernetes顶部的Redis独立集群模式设置
05-12
一个基于Golang的Redis运算符,它将在Kubernetes上进行/监视Redis独立/集群模式设置。 它可以使用Cloud和Bare metal环境上的最佳实践来创建Redis集群设置。 此外,它使用redis-exporter提供了内置的监视功能。 有关文档,请参阅 建筑学 目的 创建该操作员的目的是在Kubernetes上提供Redis的简单且生产级的设置。 不管您是否拥有普通的本地Kubernetes或基于云的Kubernetes。 支持的功能 这是该操作员支持的功能:- Redis集群/独立模式设置 带有Prometheus出口商的内置监控 使用pvc模板进行动态存储配置 k8s请求和限制的资源限制 密码/无密码设置 节点选择器和关联 优先级管理设置优先级 SecurityContext操作内核参数 入门 如果要从头开始将redis-operator部署到本地Minik
sparksecurity:SparkJava 的微型安全
07-10
星火安全 SparkJava 的小型安全库。 例子 要使用该库,请添加以下几行: SparkSecurity . setSecurityHandlerClass( SimpleSecurityHandler . class); SparkSecurity . init(); 需要实现安全处理程序以设置正确的身份验证: public class SimpleSecurityHandler implements SecurityHandler { private static final String AUTH_TOKEN = " AUTH-TOKEN " ; @Override public void handle ( Request request , SecurityContext context ) { String authToken
k8s设置pod privileged权限(特权):securityContext.privileged=true
学亮编程手记
03-01 9085
k8s部署es的时候需要初始化很多linux的内核参数。 但是文件系统挂载到pod容器中就会变成read-only,难以进行操作实现需求。 所以需要给POD privileged权限,然后在容器的初始化脚本或代码中去修改sysctl参数。 创建POD/deployment/daemonset等对象时, 给容器的spec指定securityContext.privileged=true即可。 ...
psp-allow-privilege-escalation:Kubewarden Pod安全策略,用于控制allowPrivilegeEscalation的使用
04-15
持续集成 执照 该Kubewarden策略替代了Kubernetes Pod安全策略,该策略限制了的使用。 政策如何运作 此策略拒绝启用了allowPrivilegeEscalation安全上下文的所有allowPrivilegeEscalation 。 该策略还会检查initContainers 。 例子 由于nginx容器已启用allowPrivilegeEscalation因此以下Pod将被拒绝: apiVersion : v1 kind : Pod metadata : name : nginx spec : containers : - name : nginx image : nginx securityContext : allowPrivilegeEscalation : true - name : sidecar
krakend-helm:在kubernetes集群中部署krakend的头盔图表
05-10
克拉肯德·赫尔姆 在kubernetes集群中部署krakend的头盔图表 安装api-gateway系统 TL; DR; $ helm install krakend-helm 安装图表 要使用发布名称my-release安装图表: $ helm install --name my-release krakend-helm 卸载图表 要卸载/删除my-release部署,请执行以下操作: $ helm delete my-release 该命令将删除与该图表关联的所有Kubernetes组件,并删除发行版。 将现有发行版升级到新的主要版本 主要图表版本更改(如v1.2.3-> v2.0.0)表明存在不兼容的突破性更改,需要手动操作。 配置 范围 描述 默认 replicas 节点数 1 securityContext 部署安全性 {} image.repository
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限)
Dontla的博客
09-18 1万+
在默认情况下,Docker对容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
docker --privileged=true 参数作用
热门推荐
wangxuelei036的博客
07-20 9万+
大约在0.6版,privileged被引入docker。 使用该参数,container内的root拥有真正的root权限。 否则,container内的root只是外部的一个普通用户权限。 privileged启动的容器,可以看到很多host上的设备,并且可以执行mount。 甚至允许你在docker容器中启动docker容器。 $ docker help run ... --privileged=false Give extended privileges to this
docker 学习3
yulang1992514的博客
03-02 4308
1.docker镜像 镜像 是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。 只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来一个对象)。 在下载的过程中我们可以看到docker的镜像好像是在一层一层的在下载,docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。 ..
docker --privileged=true 参数作用
小小关的博客
09-26 1037
privileged启动的容器,可以看到很多host上的设备,并且可以执行mount。使用该参数,container内的root拥有真正的root权限。否则,container内的root只是外部的一个普通用户权限。大约在0.6版,privileged被引入docker。甚至允许你在docker容器中启动docker容器。
k8s不求甚解系列:POD特权模式
最新发布
weixin_38757398的博客
12-04 1710
本文描述了k8s中的特权pod的相关定义、使用场景。在文章的后半段给出了一份笔者的实践过程,期望能够带给读者启发
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示 这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份运行容器,但是Webhook确保只有在PodsecurityContext runAsNonRoot设置显式设置为false ,才有可能。 如果没有为runAsNonRoot设置任何值,那么将应用默认值true ,并且用户ID默认为1234 。 先决条件 可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
docker容器安全设置
weixin_43991475的博客
03-31 1178
一、 privileged=true|false 介绍 false默认 container内的root只是外部的一个普通用户权限。 true container内的root拥有真正的root权限。 当以privileged为ture启动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器中启动docker容器 二、以privileged为ture启动的容器 docker run --name 容器名称 -d -it --privil...
Docker学习笔记 -- Docker基础入门
qq_37779333的博客
05-04 310
Docker概念: Docker 属于 Linux 容器的一种封装,提供简单易用的容器使用接口。它是目前最流行的 Linux 容器解决方案。 Docker 将应用程序与该程序的依赖,打包在一个文件里面。运行这个文件,就会生成一个虚拟容器。程序在这个虚拟容器里运行,就好像在真实的物理机上运行一样。有了 Docker,就不用担心环境问题。简单理解就是一个微型的OS,相关的需要运行的环境在容器内全部安装...
docker安装jenkins
GSON的博客
03-06 385
第一步、搜索可用镜像 建议使用的Docker映像是jenkinsci/blueoceanimage(来自 theDocker Hub repository)。 该镜像包含当前的长期支持 (LTS) 的Jenkins版本(可以投入使用) jenkins官方文档地址https://www.jenkins.io/zh/doc/book/installing/ 我们在Docker Hub找到改镜像 第二步、拉取镜像 docker pull jenkinsci/blueocean 该镜像里面...
kubernetes--安全上下文Security Context
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
docker容器的数据卷
m0_60213304的博客
04-24 2221
卷就是文件或者目录,卷的目的就是数据的持久化,独立于容器的生命周期,因此容器删除时,或者容器挂掉了,数据卷依旧存在,可以使用数据卷完成数据的恢复(类似于redis的AOF,RDB); 设置容器卷的命令: docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名(默认可读可写) #--privileged=true 打开root的权限 -v表示绑定一组路径 容器内指定路径下产生的数据,宿主机指定路径下也可以获取; 宿主机指定目录下产..
Kubernetes安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 7862
简介 安全上下文Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3047
1、pod安全上下文Security Context特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
K8s中配置 启动 sysctl 与 privileged
LegendHonor的博客
04-21 2905
#修改privileged ReplicationController.spec.template.spec.containers.securityContext: privileged: true #修改sysctl ReplicationController.spec.template.spec.containers.command: ["bash", "-c", "ulimit ...
以non privilege运行pod
07-12
你好!如果你想要在 KubernetesPod 中以非特权(non-privileged模式运行,可以按照以下步骤进行操作: 1. 确保你的 Pod安全上下文中没有设置特权模式。在 Pod 的 YAML 配置文件中,确保 `securityContext` 下的 `privileged` 字段为 `false` 或者省略该字段。 ```yaml apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image securityContext: privileged: false ``` 2. 使用 `kubectl` 命令来创建或更新 Pod。 ```shell kubectl apply -f pod.yaml ``` 这样配置的 Pod 将以非特权模式运行,无法执行一些特权操作。希望这可以帮到你!如果你有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值