Linux 節點安全

本頁面描述了 Linux 作業系統特有的安全注意事項和最佳實踐。

節點上 Secret 資料的保護

在 Linux 節點上，記憶體支援的卷（例如 secret 卷掛載，或帶有 medium: Memory 的 emptyDir）是透過 tmpfs 檔案系統實現的。

如果配置了交換分割槽並使用了較舊的 Linux 核心（或當前核心和不受支援的 Kubernetes 配置），則記憶體支援的卷的資料可能會寫入永續性儲存。

Linux 核心從版本 6.3 開始正式支援 noswap 選項，因此，如果節點上啟用了交換分割槽，建議使用的核心版本為 6.3 或更高版本，或者透過反向移植支援 noswap 選項。

有關更多資訊，請閱讀交換記憶體管理。