Windows 節點安全
本頁面描述了 Windows 作業系統特有的安全注意事項和最佳實踐。
節點上 Secret 資料的保護
在 Windows 上,來自 Secret 的資料以明文形式寫入節點的本地儲存(與在 Linux 上使用 tmpfs / 記憶體檔案系統相比)。作為叢集操作員,你應該採取以下兩項額外措施:
- 使用檔案 ACL 保護 Secret 的檔案位置。
- 使用 BitLocker 應用卷級加密。
容器使用者
可以為 Windows Pod 或容器指定 RunAsUsername,以特定使用者身份執行容器程序。這大致相當於 RunAsUser。
Windows 容器提供兩個預設使用者賬戶:ContainerUser 和 ContainerAdministrator。這兩個使用者賬戶之間的差異在 Microsoft 的《安全 Windows 容器》文件中 何時使用 ContainerAdmin 和 ContainerUser 使用者賬戶 一節中有所介紹。
本地使用者可以在容器構建過程中新增到容器映象中。
注意
- 基於 Nano Server 的映象預設以
ContainerUser身份執行。 - 基於 Server Core 的映象預設以
ContainerAdministrator身份執行。
Windows 容器還可以透過利用 組管理服務賬戶 來以 Active Directory 身份執行。
Pod 級安全隔離
Linux 特定的 Pod 安全上下文機制(例如 SELinux、AppArmor、Seccomp 或自定義 POSIX 功能)在 Windows 節點上不受支援。
Windows 上不支援特權容器。相反,HostProcess 容器可以在 Windows 上用於執行 Linux 上特權容器執行的許多工。
最後修改於 2022 年 6 月 18 日太平洋標準時間下午 4:28:批次修復連結 (3) (d705d9ed1c)