Windows 节点安全
此页面描述了特定于 Windows 操作系统的安全注意事项和最佳实践。
节点上机密数据的保护
在 Windows 上,来自机密的数据以明文形式写入节点的本地存储(与在 Linux 上使用 tmpfs / 内存文件系统相比)。作为集群操作员,您应该采取以下两项额外措施
- 使用文件 ACL 来保护机密文件的存储位置。
- 使用 BitLocker 应用卷级别加密。
容器用户
可以为 Windows Pod 或容器指定 RunAsUsername 以将容器进程作为特定用户执行。这大致相当于 RunAsUser。
Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。这两个用户帐户之间的差异在 Microsoft 的安全 Windows 容器文档中的 何时使用 ContainerAdmin 和 ContainerUser 用户帐户 中介绍。
在容器构建过程中,可以将本地用户添加到容器镜像。
注意
- 基于 Nano Server 的镜像默认以
ContainerUser身份运行 - 基于 Server Core 的镜像默认以
ContainerAdministrator身份运行
Windows 容器还可以通过利用 组托管服务帐户 以 Active Directory 身份运行。
Pod 级别的安全隔离
特定于 Linux 的 Pod 安全上下文机制(如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)在 Windows 节点上不受支持。
特权容器在 Windows 上 不受支持。相反,在 Windows 上可以使用 HostProcess 容器 来执行 Linux 上特权容器执行的许多任务。
上次修改于 2022 年 6 月 18 日太平洋标准时间下午 4:28: 批处理修复链接 (3) (d705d9ed1c)