目录
k8s可以为pod设置应用程序运行所需的权限或者访问控制等安全设置,涉及多种Linux Kernel安全相关的系统参数,这些安全设置被称为Security Context,在pod或者Conntainer级别通过securityContext字段进行设置。
pod的Security Context 安全策略包括但不限于以下内容:
- 自主访问控制(Discretionary Access Control): 基于用户 ID(UID)和组 ID(GID) 来判定对对象(例如文件)的访问权限
- 安全性增强的 Linux(SELinux): 为对象赋予安全性标签。
- 以特权模式或者非特权模式运行。
- Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。
- AppArmor:使用程序配置来限制个别程序的权能。
- Seccomp:过滤进程的系统调用。
- allowPrivilegeEscalati