Docker 评估Kubernetes（牧场主）码头工人的安全性

我已经使用

Docker bench

评估了Kubernetes集群中Docker容器的安全配置。我注意到所有Kubernetes容器，如

kube-proxy
kubelet
kube-apiserver
k8s_kube-flannel_canal
k8s_POD_canal
k8s_trident-main_trident-csi
...

以root用户身份运行。这有必要吗

此外，一些Kubernetes容器，如

k8s\u trident-main\u trident

，

kube proxy

和

kubelet

以特权模式运行。我想这是库伯内特斯正常工作的必要条件

我的问题是：如何正确评估Kubernetes中Docker的安全配置？我知道Kubernetes涵盖了大多数设置，例如CPU/内存使用、PID cgroup限制和运行状况检查。然而，现在我不知道当Docker通过Kubernetes和Rancher（也使用RancherOS）进行管理时，我是否可以对Docker的安全配置说点什么。重新思考前一个问题：除了强化Kubernetes，还应该采取哪些步骤/控制措施来强化Docker

…以root用户身份运行。这有必要吗

如果他们中的一些人这样做了，你可以认为这应该有一个很好的理由。我相信库伯内特斯的创作者非常熟悉最小特权原则的概念。所以我想说：是的，很可能需要能够在节点系统上执行所需的操作。但是，可以将其作为示例进行讨论

例如kubeadm真的需要root权限吗？好。。。要能够执行所有必需的操作，请选择“是”。与答案比较

然而，关于以非根用户身份运行整个kubernetes集群的想法也出现了。我发现讨论这个概念很有趣

你的问题涉及到了非常广泛的话题，不可能给出一个正确的答案。我会说这是一篇博文，甚至是电子书的素材（与之相比）

此外，一些Kubernetes容器，例如

k8s\u trident-main\u trident

，

kube代理

和

kubelet

运行 特权模式。我想这是库伯内特斯工作的必要条件 对

若您希望容器也能够在主机系统上执行某些操作，那个么特权模式是无法避免的

您可能还想熟悉kubernetes官方文档中的以下文章：

我希望有帮助

…以root用户身份运行。这有必要吗

如果他们中的一些人这样做了，你可以认为这应该有一个很好的理由。我相信库伯内特斯的创作者非常熟悉最小特权原则的概念。所以我想说：是的，很可能需要能够在节点系统上执行所需的操作。但是，可以将其作为示例进行讨论

例如kubeadm真的需要root权限吗？好。。。要能够执行所有必需的操作，请选择“是”。与答案比较

然而，关于以非根用户身份运行整个kubernetes集群的想法也出现了。我发现讨论这个概念很有趣

你的问题涉及到了非常广泛的话题，不可能给出一个正确的答案。我会说这是一篇博文，甚至是电子书的素材（与之相比）

此外，一些Kubernetes容器，例如

k8s\u trident-main\u trident

，

kube代理

和

kubelet

运行 特权模式。我想这是库伯内特斯工作的必要条件 对

若您希望容器也能够在主机系统上执行某些操作，那个么特权模式是无法避免的

您可能还想熟悉kubernetes官方文档中的以下文章：

---

我希望这能有所帮助。

谢谢你的详尽回答。我已经看过你贴的文件了。我更想了解Docker与Kubernetes结合使用时的安全性，以及Docker与Kubernetes中功能的重叠。例如，在使用docker bench进行审阅时，Kubernetes会涵盖一些（甚至可能是大多数）控件，例如“确保适当配置默认ulimit”和“确保容器的内存使用受到限制”，但不是全部（我猜）。我真的在寻找库伯内特斯本身没有涵盖的控制谢谢你详尽的回答。我已经看过你贴的文件了。我更想了解Docker与Kubernetes结合使用时的安全性，以及Docker与Kubernetes中功能的重叠。例如，在使用docker bench进行审阅时，Kubernetes会涵盖一些（甚至可能是大多数）控件，例如“确保适当配置默认ulimit”和“确保容器的内存使用受到限制”，但不是全部（我猜）。我真的在寻找库伯内特斯本身没有涵盖的控制