Windows 节点的安全性

    在 Windows 上,来自 Secret 的数据以明文形式写入节点的本地存储 (与在 Linux 上使用 tmpfs / 内存中文件系统不同)。 作为集群操作员,你应该采取以下两项额外措施:

    1. 使用 进行卷级加密。

    可以为 Windows Pod 或容器指定 以作为特定用户执行容器进程。这大致相当于 RunAsUser

    在容器构建过程中,可以将本地用户添加到容器镜像中。

    说明:

    • 基于 的镜像默认以 ContainerAdministrator 运行

    Windows 节点不支持特定于 Linux 的 Pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 权能字)。

    Windows 上特权容器。 然而,可以在 Windows 上使用 HostProcess 容器来执行 Linux 上特权容器执行的许多任务。