使用 Kubernetes 运行 non-root .NET 容器

最新推荐文章于 2023-09-14 23:06:07 发布
最新推荐文章于 2023-09-14 23:06:07 发布
阅读量436 收藏 1
点赞数
文章标签: kubernetes docker 容器 云原生 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654096486&idx=1&sn=a067a36c9fa5f91c8fab3c2888498d6e&chksm=80d86833b7afe125fe65ba3dc5c45cb06e0eeb9188b6dca46d35264d786c135748c1db29735b&scene=126&sessionid=0
版权

点击上方蓝字

关注我们

(本文阅读时间:10分钟)

翻译自 Richard Lander 的博客

Rootless 或 non-root Linux 容器一直是 .NET 容器团队最需要的功能。我们最近宣布了所有 .NET 8 容器镜像都可以通过一行代码配置为 non-root 用户。今天的文章将介绍如何使用 Kubernetes 处理 non-root 托管。

您可以尝试使用我们的 non-root Kubernetes 示例在集群上托管 non-root 容器。它是我们正在处理的一组更大的 Kubernetes 示例的一部分。

runAsNonRoot

我们将要讨论的大部分内容都与 Kubernetes 清单的 SecurityContext 部分有关。它包含 Kubernetes 应用的安全配置。

spec:
      containers:
      - name: aspnetapp
        image: dotnetnonroot.azurecr.io/aspnetapp
        securityContext:
          runAsNonRoot: true

此 securityContext 对象验证容器将以 non-root 用户运行。

runAsNonRoot 测试用户(通过 UID)是 non-root 用户(> 0),否则 pod 创建将失败。Kubernetes 仅为该测试读取容器镜像元数据。它不会读取/etc/passwd,因为这需要启动容器(这违背了测试的目的)。这意味着 USER(在 Dockerfile 中)必须由 UID 设置。如果 USER 按名称设置,将会失败。

我们可以使用 docker inspect 模拟相同的测试。

% docker inspect dotnetnonroot.azurecr.io/aspnetapp -f "{{.Config.User}}"
64198

我们的示例镜像通过 UID 设置用户。但是,whoami 仍会将用户报告为应用程序。

runAsUser 是一个相关的设置,尽管在上面的示例中没有使用。只有当容器镜像未设置 USER、通过名称而非 UID 进行设置,或者其他情况不需要时,才应该使用 runAsUser。我们已经让使用新应用程序用户作为 UID 变得非常容易,这样 .NET 应用程序应该会不再需要 runAsUser了。

USER 最佳实践

我们建议在 Dockerfile 中设置 USER 时使用以下模式。

 
 
USER $APP_UID
 
 
USER 指令通常放在 ENTRYPOINT 之前,尽管顺序无关紧要。此模式导致 USER 被设置为 UID,同时避免在 Dockerfile 中使用幻数。环境变量已经定义了 .NET 镜像声明的 UID 值。
 
 
您可以看到 .NET 镜像中设置的环境变量。
 
 
 
 
% docker run mcr.microsoft.com/dotnet/runtime-deps:8.0-preview bash -c "export | grep UID"
declare -x APP_UID="64198"
 
 
non-root 示例根据此模式通过 UID 设置用户。因此,它适用于 runAsNonRoot。
 
 
non-root 托管
 
 
让我们看看使用 non-root Kubernetes 示例进行 non-root 容器托管的体验。
 
 
我们正在为本地集群使用 minikube,但任何兼容 Kubernetes 的环境都应该能很好地与 kubectl 配合使用。
 
 
 
 
$ kubectl apply -f https://raw.githubusercontent.com/dotnet/dotnet-docker/main/samples/kubernetes/non-root/non-root.yaml
deployment.apps/dotnet-non-root created
service/dotnet-non-root created
$ kubectl get po
NAME                           READY   STATUS    RESTARTS   AGE
dotnet-non-root-68f4cd45c-687zp   1/1     Running   0          13s
 
 
该应用程序正在运行。让我们检查一下用户。
 
 
 
 
$ kubectl exec dotnet-non-root-68f4cd45c-687zp -- whoami
app
 
 
我们也可以在应用程序上调用一个端点。首先,我们需要创建一个代理来连接它。
 
 
 
 
% kubectl port-forward service/dotnet-non-root 8080
 
 
我们现在可以调用端点,它也将用户报告为 app。
 
 
% curl http://localhost:8080/Environment
{"runtimeVersion":".NET 8.0.0-preview.3.23174.8","osVersion":"Linux 5.15.49-linuxkit #1 SMP PREEMPT Tue Sep 13 07:51:32 UTC 2022","osArchitecture":"Arm64","user":"app","processorCount":4,"totalAvailableMemoryBytes":4124512256,"memoryLimit":0,"memoryUsage":35004416}
 
 
删除资源。
 
 
$ kubectl delete -f https://raw.githubusercontent.com/dotnet/dotnet-docker/main/samples/kubernetes/non-root/non-root.yaml
deployment.apps "dotnet-non-root" deleted
service "dotnet-non-root" deleted
 
 
在撰写本文时,官方示例尚未移动到使用 non-root 用户。当我们将示例移动到 .NET 8 时,可能 .NET 8 RC1,我们会这样做。可以使用 aspnetapp 镜像来演示当 runAsNonRoot 与使用 root 的镜像一起使用时会发生什么。它应该失败,对吧?稍微更改一下清单,让我们从没有 securityContext 部分开始。
 
 
 
 
spec:
      containers:
      - name: aspnetapp
 
 
检查一下用户。
 
 
 
 
$ kubectl apply -f non-root.yaml
deployment.apps/dotnet-non-root created
service/dotnet-non-root created
$ kubectl get po
NAME                            READY   STATUS    RESTARTS   AGE
dotnet-non-root-85768f6c55-pb5gh   1/1     Running   0          1s
$ kubectl exec dotnet-non-root-85768f6c55-pb5gh -- whoami
root
 
 
不出所料。现在,把 runAsNonRoot 加回来。
 
 
 
 
spec:
      containers:
      - name: aspnetapp
        image: mcr.microsoft.com/dotnet/samples:aspnetapp
        securityContext:
          allowPrivilegeEscalation: false
          runAsNonRoot: true
 
 
$ kubectl apply -f non-root.yaml
deployment.apps/dotnet-non-root created
service/dotnet-non-root created
$ kubectl get po
NAME                            READY   STATUS                       RESTARTS   AGE
dotnet-non-root-6df9cb77d8-74t96   0/1     CreateContainerConfigError   0          5s
 
 
失败了,但就是我们想要的。我们可以更多地了解下原因。
 
 
 
 
$ kubectl describe po | grep Error
      Reason:       CreateContainerConfigError
  Warning  Failed     7s (x2 over 8s)  kubelet            Error: container has runAsNonRoot and image will run as root (pod: "dotnet-non-root-6df9cb77d8-74t96_default(d4df0889-4a69-481a-adc4-56f41fb41c63)", container: aspnetapp)
 
 
我们可以尝试 kubectl exec 到 pod,但它会失败。这表明 Kubernetes 阻止了容器的创建(如错误状态所示)。
 
 
$ kubectl exec dotnet-non-root-6df9cb77d8-74t96 -- whoami
error: unable to upgrade connection: container not found ("aspnetapp")
 
 
dotnet-monitor
 
 
dotnet-monitor 是一种诊断工具,用于从正在运行的应用程序中捕获诊断工件。我们为其提供了一个 dotnet/monitor 容器镜像。它适用于 non-root 主机。
 
 
hello-dotnet Kubernetes 示例演示了以 non-root 用户身份运行的 ASP.NET 和 dotnet-monitor。它还继续演示如何在云端和本地收集 Prometheus 指标数据。
 
 
a41fa7778c7c983aeb3c64290dacc82a.gif
 
 
您可以通过几个简单的配置更改在 Kubernetes 中切换到 non-root 托管。您的应用程序将更加安全,对攻击也更具弹性。这种方法还使应用程序符合 Kubernetes Pod 强化最佳实践。这是一项小变革,但对深度防御有着巨大影响。
 
 
希望我们的容器安全计划能够让整个 .NET 容器生态系统都转向 non-root 托管,我们致力于使云中的 .NET 应用程序高效且安全。
 
 
e3db4b1b951f8f2499639e5db0503656.jpeg
 
 
9725da5099f0f1a4fb7273a25342e88a.gif
 
 
点击「阅读原文」前往原博客~
 


                

        

        

    




    

      

        

            

              
                
                  dotNET跨平台
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
root用户管理k8s和docker容器

				
			

			

				

					因上努力,果上随缘。但行好事,莫问前程。
				

				

					06-02
					
					2194
					
				

			

		

		

			
				
1.2 修改集群配置

OPS机器关联kubectl进行如下操作:root用户执行:


ops用户执行:


1.3 验证






二、非root用户管理docker

由于docker软件安装好之后,自动会创建好docker用户组,所以这里只需要创建好管理docer容器的用户就好。


首先来看一下正常的普通用户管理docker是什么样的切换dev用户执行docker命令,报错如下:


现在我们把ops用户加入docker用户组中


接下来切换ops用户来查看一下效果:

			
		

	



                

              
                



	

		

			

				
					
使用kubectl、docker命令(非root用户)

				
			

			

				

					谦虚使人发胖的博客
				

				

					10-25
					
					1013
					
				

			

		

		

			
				
一、创建非root用户


useradd dev #创建用户
passwd dev #修改密码<br>

二、赋予sudo权限


root ALL=(ALL) ALL
dev ALL=(ALL) ALL #新增用户信息

三、配置dev用户使用kubectl使用权限

1、切换到普通用户操作:


su - dev
mkdir -p /home/dev/.kube
sudo cp -i /etc/kubernetes/admin.kubeconfig /home/dev/.kube/conf

			
		

	



                


  
              

                


	

		

			

				
					
docker: mange docker as a non-root user

				
			

			

				

					Eureka
				

				

					11-01
					
					924
					
				

			

		

		

			
				
When first installing docker, you will find it requires root priority for even docker run operation.  So you should create a group for non-root users to run their code.
https://docs.docker.com/install...

			
		

	





	

		

			

				
					
root使用秘钥认证,non-root使用密码认证

				
			

			

				

					刘元林的博客
				

				

					09-08
					
					697
					
				

			

		

		

			
				
1、openssh的 key auth不是通过pam实现的,绕过了Pam auth堆栈。所以,不能通过pam编排的范式实现。
2、通过配置sshd_config,来实现相同的需求
2.1、通过PermitRootLogin禁止root通过密码认证
openssh7.0-PermitRootLogin without-passwordopenssh7.0+PermitRootLogin prohibit-password2.2、开启秘钥认证,配置密钥到/root/.ssh/authorized_keys,而.

			
		

	



		

			
		



	

		

			

				
					
non-root-debug-container

				
			

			

				

					04-09
				

			

		

		

			
				
 容器被创建为以非根用户身份运行容器已上传到  如果要在bash shell中使用方便的功能,可以将以下内容添加为功能 function k8s-deploy-debug {  kubectl run debug --rm -it \  --image=freddeliv/...

			
		

	





	

		

			

				
					
non-root-postgres

				
			

			

				

					04-19
				

			

		

		

			
				
root-postgres

			
		

	





	

		

			

				
					
First-root-traversal-non-recursive.zip_ROOT

				
			

			

				

					09-20
				

			

		

		

			
				
在"First root traversal non recursive"这个文件中,很可能包含了关于非递归先根遍历的具体代码示例或算法解释。通过阅读和理解这些内容,我们可以深入学习如何在实践中实现这个算法,同时也能了解到非递归遍历的...

			
		

	





	

		

			

				
					
Kinh Ph  ;p C  ; - gdpt.net.doc

				
			

			

				

					03-11
				

			

		

		

			
				
In conclusion, the Kinh Pháp Cú - Dhammapada Sutta is a valuable resource for Buddhists and non-Buddhists alike, offering insights into the nature of reality, the human condition, and the path to ...

			
		

	





	

		

			

				
					
root用户运行容器(K8S SecurityContext)

				
			

			

				

					小单的博客专栏
				

				

					08-04
					
					4875
					
				

			

		

		

			
				
一、从构建镜像的角度下手
将非root用户添加到Dockerfile
# RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell)
RUN groupadd --gid 5000 newuser \
  && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus

			
		

	





	

		

			

				
					
如何以非root用户运行Docker容器

				
			

			

				

					琦彦
				

				

					04-07
					
					1万+
					
				

			

		

		

			
				
原文发表于kubernetes中文社区,为作者原创  原文地址

需要用root用户运行Docker?
组织中,经常以Root用户运行Docker中的容器。但是你的工作负载真的需要root权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以root用户身份运行。但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。这就为那些恶意访问主...

			
		

	





	

		

			

				
					
bartender的安全策略不允许指定的用户执行此操作_如何以非root用户运行Docker容器...

				
			

			

				

					weixin_39910963的博客
				

				

					11-24
					
					897
					
				

			

		

		

			
				
需要用root用户运行Docker?组织中,经常以Root用户运行Docker中的容器。但是你的工作负载真的需要root权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以root用户身份运行,但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。这就为那些恶意访问主机的攻击者,提供了机会。只需在常用的任何镜像上使用以下命令,你就可以自...

			
		

	





	

		

			

				
					
如何运行没有Root权限的Docker?干货来了!

				
			

			

				

					CSDN云计算
				

				

					03-23
					
					4253
					
				

			

		

		

			
				
作者 |Vaibhav Raizada译者 | 天道酬勤责编 | 徐威龙封图|CSDN 下载于视觉中国在本文中,我们讨论了如何在没有root权限的情...

			
		

	





	

		

			

				
					
你应该了解的10个 Kubernetes 安全上下文设置[译]

				
			

			

				

					因上努力,果上随缘。但行好事,莫问前程。
				

				

					08-02
					
					1657
					
				

			

		

		

			
				
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。

			
		

	





	

		

			

				
					
K8s中Pod常见问题排查

					
最新发布

				
			

			

				

					风水道人
				

				

					09-14
					
					171
					
				

			

		

		

			
				
ERROR: for myproj_py_web_1 Cannot start service web: OCI runtime create failed: container_linux.go:346: starting container process caused "exec: \"/code/entrypoint.sh\": stat /code/entrypoint.sh: no such file or directory": unknown

			
		

	





	

		

			

				
					
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限

					
热门推荐

				
			

			

				

					qq_32352777的博客
				

				

					05-10
					
					1万+
					
				

			

		

		

			
				
目录



前言

查阅官方文档,找答案

解决方案





前言

当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户和用户组:



可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示:



我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过

			
		

	





	

		

			

				
					
aws eks_有关AWS eks中kubernetes podsecuritypolicy的详细指南

				
			

			

				

					weixin_26717681的博客
				

				

					08-15
					
					509
					
				

			

		

		

			
				
aws eks 豆荚安全 (Pod Security)
Pods have a variety of different settings that can strengthen or weaken your overall security posture. As a Kubernetes practitioner your chief concern should be preventing ...

			
		

	





	

		

			

				
					
[root@localhost ~]# kubeadm init --apiserver-advertise-address=192.168.0.4 --image-repository registry.aliyuncs.com/google_containers --kubernetes-version v1.26.2 --service-cidr=10.1.0.0/16 --pod-network-cidr=10.244.0.0/16 [init] Using Kubernetes version: v1.26.2 [preflight] Running pre-flight checks error execution phase preflight: [preflight] Some fatal errors occurred: 	[ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists 	[ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists 	[ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists 	[ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists 	[ERROR Port-10250]: Port 10250 is in use [preflight] If you know what you are doing, you can make a check non-fatal with `--ignore-preflight-errors=...` To see the stack trace of this error execute with --v=5 or higher

				
			

			

				

					07-12
				

			

		

		

			
				
 kubeadm init --ignore-preflight-errors=FileAvailable-etc-kubernetes-manifests-kube-apiserver.yaml,FileAvailable-etc-kubernetes-manifests-kube-controller-manager.yaml,FileAvailable-etc-kubernetes-...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值