Windows 節點的安全性
本頁面描述特定於 Windows 作業系統的安全性考量與最佳實務。
節點上 Secret 資料的保護
在 Windows 上,來自 Secret 的資料會以明文形式寫出到節點的本機儲存空間 (相較於在 Linux 上使用 tmpfs / 記憶體內檔案系統)。身為叢集運算子,您應採取以下額外措施:
- 使用檔案 ACL 保護 Secret 檔案位置的安全。
- 使用 BitLocker 套用磁碟區層級加密。
容器使用者
可以為 Windows Pod 或容器指定 RunAsUsername,以特定使用者身分執行容器程序。這大致相當於 RunAsUser。
Windows 容器提供兩個預設使用者帳戶:ContainerUser 和 ContainerAdministrator。Microsoft《安全 Windows 容器》文件中涵蓋這兩個使用者帳戶之間的差異:何時使用 ContainerAdmin 和 ContainerUser 使用者帳戶。
可以在容器建置程序期間將本機使用者新增至容器映像檔。
注意
- 根據 Nano Server 的映像檔預設以
ContainerUser身分執行 - 根據 Server Core 的映像檔預設以
ContainerAdministrator身分執行
Windows 容器也可以透過使用 群組管理服務帳戶 以 Active Directory 身份執行
Pod 層級安全性隔離
Windows 節點上不支援 Linux 特定的 Pod 安全性內容機制 (例如 SELinux、AppArmor、Seccomp 或自訂 POSIX 功能)。
Windows 上不支援特權容器。而是可以使用 Windows 上的 HostProcess 容器 執行 Linux 上特權容器執行的許多任務。
上次修改時間為太平洋標準時間 2022 年 6 月 18 日下午 4:28:Batch fix links (3) (d705d9ed1c)