Kubernetes SecurityContext 安全上下文之 容器使用不同用户运行时共享存储卷

最新推荐文章于 2024-08-23 00:15:00 发布
最新推荐文章于 2024-08-23 00:15:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: Kubernetes 安全
原文链接:c.com
版权

容器使用不同用户运行时共享存储卷

使用存储卷在pod的不同容器中共享数据。可以顺利地在一个容器中写入数据,在另 一个容器中读出这些数据。

但这只是因为两个容器都以root用户运行,对存储卷中的所有文件拥有全部权限。

现在假设使用前面介绍的runAsUser选项。你可能需要在一个pod中用两个不同的用户运行两个容器(可能是两个第三方的容器,都以它们自己的特定用户运行进程)。如果这样的两个容器通过存储卷共享文件,它们不一定能够读取或写入另 一个容器的文件。
 

因此,Kubemetes允许为pod中所有容器指定supplemental组,以允许它们无论以哪个用户ID运行都可以共享文件 。这可以通过以下两个属性设置:

• fsGroup : 卷内创建的任何文件都将使用 GID (由于fsGroup参数))
• supplementalGroups

解释它们的效果的最好方法是使用例子说明,下面来看一 下如何在pod中使用它们,以及它们效果。以下代码清单描述了一个拥有两个共享同一存储卷的容器的pod。
 

两个容器使用同一存储卷:

[root@master ~]# cat  volume-fsgroup.yaml 
apiVersion: v1
kind: Pod
metadata: 
  name: pod-with-shared-volume-fsgroup
spec:
  securityContext:
    fsGroup: 555
    supplementalGroups: [666, 777]
  containers:
  - name: first
    image: alpine
    command: ["/bin/sleep","999999"]
    securityContext:
      runAsUser: 1111
    volumeMounts:
    - name: shared-volume
      mountPath: /volume
      readOnly: false
  - name: second
    image: alpine
    command: ["/bin/sleep","999999"]
    securityContext:
      runAsUser: 2222
    volumeMounts:
    - name: shared-volume
      mountPath: /volume
      readOnly: false

  volumes:
  - name: shared-volume
    emptyDir: {}


# fsGroup和supplementalGroups在pod级别的安全上下文中定义
  securityContext:
    fsGroup: 555
    supplementalGroups: [666, 777]


#    securityContext:
      runAsUser: 1111
第一个容器用户ID为1111

创建这个pod之后, 进入第一个容器查看它的用户ID和组ID:

[root@master ~]# kubectl get pod
NAME                                      READY   STATUS    RESTARTS   AGE
pod-with-shared-volume-fsgroup            2/2     Running   0          29m

[root@master ~]# kubectl exec -it pod-with-shared-volume-fsgroup -c first sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl kubectl exec [POD] -- [COMMAND] instead.
/ $ id
uid=1111 gid=0(root) groups=555,666,777

id命令显示, 这个pod运行在ID为1111 的用户下, 它的用户组为0 (root),但用户组555、 666、 777也关联到了该用户下。

在pod的定义中, 将fsGroup设置成了555, 因此, 存储卷属千用户组ID为555 的用户组

/ $ ls -ld /volume
drwxrwsrwx    2 root     555           4096 Aug 12 02:16 /volume

该容器在这个存储卷所在目录中创建的文件, 所属的用户ID为1111,即该容器运行时使用的用户ID),所属的用户组ID为555 :

/ $ echo foo > /volume/foe
/ $ ls -l /volume/
total 4
-rw-r--r--    1 1111     555              4 Aug 12 02:49 foe

这个文件的所属用户情况与通常设置下的新建文件不同。 在通常情况下, 某一用户新创建文件所属的用户组ID,与该用户的所属用户组ID相同,在这种情下是0。在这个容器的根文件系统中创建一个文件, 可以验证这一点:

/ $ ls -l /tmp/
total 4
-rw-r--r--    1 1111     root             4 Aug 12 02:54 foo

如你所见, 安全上下文中的fsGroup属性当进程在存储卷中创建文件时起作用, 而supplementalGroups属性定义了某个用户所关联的额外的用户组。

Security Context
每天都要开心呀(#^.^#)
05-03 1198
Kubernetes中Security Context安全上下文简单简绍~
第51章:Pod安全上下文与Pod安全标准
最新发布
上海交通大学电院毕业,现互联网大厂开发工程师
03-24 35
自主访问控制(DAC):用户ID(UID)和组ID(GID)安全增强Linux(SELinux):为容器应用SELinux标签以特权或非特权模式运行Linux能力(Capabilities):细粒度的权限控制AppArmor:限制容器可以执行的操作Seccomp:过滤容器可以执行的系统调用AllowPrivilegeEscalation:控制进程是否可以获得比父进程更多的权限ReadOnlyRootFilesystem:使容器的根文件系统只读。
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 3068
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问显式的传入你的 UserID 肯定是不合适的...
kubernetes--安全上下文(Security Context)
热门推荐
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
下面哪些是Security Context的设置项
mischen520的博客
08-15 534
runAsUser:‌这个设置项用于指定容器默认用户的UID,‌确保容器以特定的用户身份运行,‌从而控制容器内的文件访问权限。sysctls:‌允许在容器中修改特定的系统调用参数,‌尽管只有一小部分的sysctls可以在每个容器的基础上进行修改,‌但这个设置项提供了对容器内部系统配置的精细控制。‌设置为false将不允许容器内的进程提升权限,‌增加了安全性。这些设置项共同构成了Security Context,‌旨在提供对容器运行环境的细粒度安全控制,‌确保容器化应用的安全性和隔离性。
非root用户运行容器(K8S SecurityContext
小单的博客专栏
08-04 5366
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
kubernetes 数据存储和安全认证 (五)
小趴菜不能喝的博客
07-18 1034
高级存储 pv配置 pvc配置 配置存储 ConfigMap Secret HTTPS认证大体过程RBAC引入了4个顶级资源对象 apiGroups: 支持的API组列表 resources:支持的资源对象列表 verbs:对资源对象的操作方法列表 RoleBinding、ClusterRoleBinding RoleBind
kuberneteskubernetes 安全认证
九师兄
08-23 151
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种进行操作。一般是独立于kubernetes之外的其他服务管理的用户账号。kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes提供身份标识。ApiServer是访问及管理资源对象的唯一入口。任何一个请求访问ApiServer,都要经过下面三个流程:Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。
第十二章:设置pod和容器权限-保障集群内节点和⽹络安全
weixin_54279427的博客
08-04 987
PodSecuri​tyPol​icy是⼀种集群级别(⽆命名空间)的资源,它定义了⽤户能否在pod中使⽤各种安全相关的特性。维护PodSecuri​tyPol​icy资源中配置策略的⼯作由集成在API服务器中的PodSecuri​tyPol​icy准⼊控制插件完成​。需查看是否开启了PodSecurityPolicy准入插件。当有⼈向API服务器发送pod资源,PodSecuri​tyPol​icy准⼊控制插件会将这个pod与已经配置的PodSecuri​tyPol​icy进⾏校验。
【云原生--Kubernetes安全机制
夏颜的博客
08-06 935
用户通过安全端口访问k8s的api server需要过三关:认证、授权、准入控制 - Authentication认证: 用于识别用户身份 - Authorization授权: 确认是否对资源具有相关的权限 - Admission Control准入控制: 判断操作是否符合集群的要求...
k8s security
growing_up_的博客
07-28 680
kubernetes security
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1896
在用加固你的应用,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
【k8s】——Kubernetes知识盘点
汤庆
02-15 1617
1.前言 2.架构图 5.Service介绍 5.1.1.1.什么是Service   service是k8s中的一个重要概念,主要是提供负载均衡和服务自动发现。   Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。 5.1.1.2.Service的创建   创建Service的方法有两种:   1.通过...
K8s- 运行Pod的root用户和非root用户安全相关配置
dzqxwzoe的博客
05-30 1635
1 )概述2 )正常场景whoamiid -uhostname3 )启用 privilegedhostname4 )在 yaml 中配置 securityContext 和 privileged。
Kubernetes安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 8235
简介 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
kubernetes in action》学习笔记——13、保障集群内节点和网络安全(SecurityContext PodSecurityPolicy NetworkPolicy)
WuYuChen20的博客
12-24 1456
(本文章是学习《kubernetes in action》 一书做的笔记,由于本人是刚学习k8s,且自学方式就是把它敲一遍,然后加一些自己的理解。所以会发现很多内容是跟书中内容一模一样,如果本文是对本书的侵权,敬请谅解,告知后会删除。如果引用或转载,请注明出处——谢谢) 13、保障集群内节点和网络安全一、在pod中使用宿主节点的Linux命名空间二、配置节点的安全上下文三、限制pod使用安全相关...
名词解释:Security Context和PSP
mark's technic world
02-05 699
名词解释:Security Context和PSP Security Context Security Context的目的是限制不可信容器的行为,保护系统和其他容器不受其影响。 Kubernetes提供了三种配置Security Context的方法: Container-level Security Context:仅应用到指定的容器 Pod-level Security Conte...
openshift scc解析
weixin_34410662的博客
05-27 1143
  SCC使用UserID,FsGroupID以及supplemental group ID和SELinux label等策略,通过校验Pod定义的ID是否在有效范围内来限制pod的权限。如果校验失败,则Pod也会启动失败。SCC的策略值设置为RunAsAny表示pod拥有该策略下的所有权限。否则只有pod的SCC设置与SCC策略匹配才能通过认证。   SCC可能会给出所允许的策略的值的范围(...
kubernetes资源对象之security context
LoveSummer
12-21 4203
安全上下文(Security Context)定义 Pod 或 Container 的的权限和访问控制。 安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID). 来判定对对象(例如文件)的访问权限。 安全性增强的 Linux(SELinux: 为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值