阅读量:258
Windows节点的安全性
本页介绍特定于Windows操作系统的安全注意事项和最佳实践。
保护节点上的机密数据
在Windows上,来自Secrets的数据以明文形式写入节点的本地存储(与在Linux上使用tmpfs/in-memory文件系统相比)。作为集群运营商,您应该采取以下两项额外措施:
使用文件ACL来保护Secrets的文件位置。使用BitLocker应用卷级加密。容器用户
可以为WindowsPod或容器指定RunAsUsername以作为特定用户执行容器进程。这大致相当于RunAsUser。
Windows容器提供两个默认用户帐户,ContainerUser和ContainerAdministrator。Microsoft的安全Windows容器文档中的何时使用ContainerAdmin和ContainerUser用户帐户中介绍了这两个用户帐户之间的区别。
本地用户可以在容器构建过程中添加到容器镜像中。
Note:
Windows容器还可以通过使用组托管服务帐户作为ActiveDirectory身份运行
Pod级别的安全隔离
Windows节点不支持Linux特定的pod安全上下文机制(例如SELinux、AppArmor、Seccomp或自定义POSIX功能)。
Windows不支持特权容器。相反,可以在Windows上使用HostProcess容器来执行许多由特权容器在Linux上执行的任务。