网站关键词几个字网站建设策划书范文提纲
Pod 安全上下文(Security Context)
安全上下文 (SecurityContext) 用于定义 Pod 或容器的安全相关属性,包括运行用户、用户组、文件系统权限、Linux capabilities、是否特权运行等。
Kubernetes 提供了两层级的配置:
Pod 级别 securityContext → 影响该 Pod 内所有容器。
容器级别 securityContext → 只影响某个容器(优先级高于 Pod 级别)。
常用字段:
runAsUser:指定容器运行的 Linux 用户 ID。runAsGroup:指定容器运行的 Linux 用户组 ID。fsGroup:指定挂载卷的文件系统组。privileged:是否启用特权模式(root 权限,几乎等同于宿主机 root)。readOnlyRootFilesystem:是否将容器的根文件系统挂载为只读。allowPrivilegeEscalation:是否允许提权。
使用方式
只需要在 Pod/容器的 YAML 中添加 securityContext 配置即可,例如:
- Pod 级别:
spec:securityContext:runAsUser: 1000runAsGroup: 3000fsGroup: 2000
- 容器级别:
containers:
- name: appimage: busyboxsecurityContext:runAsUser: 1000
实例
(1) 容器以普通用户运行
apiVersion: v1
kind: Pod
metadata:name: run-as-user
spec:containers:- name: appimage: busyboxcommand: ["sh", "-c", "id && sleep 3600"]securityContext:runAsUser: 1000 # 指定 UID 1000 用户runAsGroup: 3000 # 指定 GID 3000 用户组allowPrivilegeEscalation: false
运行后 id 命令会显示容器是以 UID 1000 运行,而不是 root。
(2) 容器启用特权
apiVersion: v1
kind: Pod
metadata:name: privileged-pod
spec:containers:- name: appimage: busyboxcommand: ["sh", "-c", "sleep 3600"]securityContext:privileged: true # 允许特权运行
这种模式下容器几乎等同宿主机 root,可以操作内核模块、网络接口,风险很大,一般只在调试/特殊场景下使用。
(3) 设置只读文件系统
apiVersion: v1
kind: Pod
metadata:name: readonly-fs
spec:containers:- name: appimage: busyboxcommand: ["sh", "-c", "echo hello > /tmp/test || sleep 3600"]securityContext:readOnlyRootFilesystem: true # 根文件系统只读
此时容器根目录无法写入,提升安全性,常用于无状态服务。若需要写入数据,可挂载 emptyDir 或 PersistentVolume。
网络策略 (Network Policy)
NetworkPolicy 是 Kubernetes 中用于 控制 Pod 网络通信的对象(谁可以访问谁)。
实现方式
K8s 只是定义了 API 资源,实际的隔离效果要由 CNI 插件 实现(如 Calico、Cilium、Weave Net)。如果 CNI 插件不支持网络策略,那么配置了也不会生效。
核心机制:通过标签选择器 (Label Selector) 和命名空间选择器 (NamespaceSelector) 来匹配 Pod,并定义允许的入站 (Ingress) 和出站 (Egress) 规则。默认是白名单模式:规则存在时,只允许符合条件的流量,其余全部拒绝。
网络策略资源介绍
典型结构:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: example-policynamespace: default
spec:podSelector: # 匹配哪些 PodmatchLabels:app: webpolicyTypes: # 作用范围- Ingress- Egressingress: # 入站规则- from:- podSelector:matchLabels:role: frontendports:- protocol: TCPport: 80egress: # 出站规则- to:- ipBlock:cidr: 10.0.0.0/24ports:- protocol: TCPport: 443
说明:
podSelector:选择哪些 Pod 应用策略。policyTypes:控制 入站/出站。ingress:允许哪些来源访问。egress:允许 Pod 访问哪些目标。
默认策略
Kubernetes 默认情况:所有 Pod 之间流量全部允许。
没有任何 NetworkPolicy → 全部放行。
只要有一条 NetworkPolicy 作用于某个 Pod → 默认拒绝未匹配规则的流量。
可以创建一个“默认拒绝所有流量”的策略,比如:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-allnamespace: default
spec:podSelector: {} # 匹配命名空间下所有 PodpolicyTypes:- Ingress- Egress
限制策略
(1) 不同级别限制(细粒度)
按 Pod 限制:通过
podSelector精确控制。按 Namespace 限制:通过
namespaceSelector控制某个命名空间的 Pod。按端口限制:只允许指定端口通信。
按协议限制:TCP/UDP/ICMP 等。
例如只允许同一命名空间内带 role=db 的 Pod 访问:
ingress:
- from:- podSelector:matchLabels:role: db
(2) IP 段限制
可以通过 ipBlock 指定允许的网段:
ingress:
- from:- ipBlock:cidr: 192.168.1.0/24except:- 192.168.1.5/32 # 排除某个 IP
(3) 出站流量限制
默认 Pod 出站是全放行的。如果要限制,可以显式配置 egress。
例如只允许访问外部 HTTPS:
egress:
- to:- ipBlock:cidr: 0.0.0.0/0ports:- protocol: TCPport: 443
如果只配置了 egress 而没有 ingress,那么:
出站会按规则过滤。
入站仍然默认放行,除非设置
policyTypes: [Ingress, Egress]。
实际上,生产环境里大多数情况下只限制 入站 (Ingress),因为 Pod 出站需要访问外部 API、数据库等,不方便严格控制。
但对于安全敏感的应用(如零信任架构),也可能会限制出站。
总结:
- 网络策略 = Pod 的防火墙规则,由 CNI 插件实现。
- 默认情况:所有流量允许,一旦有策略匹配 Pod,默认拒绝未允许的流量。
- 可以按 Pod、Namespace、IP 段、端口、协议 等维度精细限制。
- 一般主要限制 入站,但也可限制 出站。