啊嘎哇在线工具箱

"Kubernetes(k8s)手册"的目录

Kubernetes 容器运行时

Kubernetes 安装kubeadm

Kubernetes 对kubeadm进行故障排查

Kubernetes 使用kubeadm创建集群

Kubernetes 使用kubeadm API定制组件

Kubernetes 高可用拓扑选项

Kubernetes 利用kubeadm创建高可用集群

Kubernetes 使用kubeadm创建一个高可用etcd集群

Kubernetes 使用kubeadm配置集群中的每个kubelet

Kubernetes 使用kubeadm支持双协议栈

Kubernetes 使用Kops安装Kubernetes

Kubernetes 使用Kubespray安装Kubernetes

Kubernetes 对Windows的支持

Kubernetes Windows容器的调度指南

Kubernetes 运行于多可用区环境

Kubernetes 大规模集群的注意事项

Kubernetes 校验节点设置

Kubernetes PKI证书和要求

Kubernetes 强制实施Pod安全性标准

Kubernetes 简介

Kubernetes 组件

Kubernetes API

Kubernetes Linux安装

Kubernetes macOS安装

Kubernetes Windows安装

Kubernetes 对象简介

Kubernetes 对象管理

Kubernetes 对象名称和IDs

Kubernetes 名字空间

Kubernetes 标签和选择算符

Kubernetes 注解

Kubernetes Finalizers

Kubernetes 字段选择器

Kubernetes 属主与附属

Kubernetes 推荐使用的标签

Kubernetes 节点

Kubernetes 控制面到节点通信

Kubernetes 控制器

Kubernetes 云控制器管理器

Kubernetes 垃圾收集

Kubernetes 容器运行时接口（CRI）

Kubernetes 镜像

Kubernetes 容器环境

Kubernetes 容器运行时类（Runtime Class）

Kubernetes 容器生命周期回调

Kubernetes Pod的生命周期

Kubernetes Init容器

Kubernetes Pod拓扑分布约束

Kubernetes 干扰（Disruptions）

Kubernetes 临时容器

Kubernetes Deployments

Kubernetes ReplicaSet

Kubernetes StatefulSets

Kubernetes DaemonSet

Kubernetes Jobs

Kubernetes 已完成 Job 的自动清理

Kubernetes CronJob

Kubernetes ReplicationController

Kubernetes 使用拓扑键实现拓扑感知的流量路由

Kubernetes 服务

Kubernetes Pod 与 Service 的 DNS

Kubernetes 使用 Service 连接到应用

Kubernetes Ingress

Kubernetes Ingress 控制器

Kubernetes 拓扑感知提示

Kubernetes 服务内部流量策略

Kubernetes 端点切片（Endpoint Slices）

Kubernetes 网络策略

Kubernetes IPv4/IPv6 双协议栈

Kubernetes 卷

Kubernetes 持久卷

Kubernetes 投射卷

Kubernetes 临时卷

Kubernetes 存储类

Kubernetes 配置最佳实践

Kubernetes ConfigMap

Kubernetes Secret

Kubernetes 为 Pod 和容器管理资源

Kubernetes 使用 kubeconfig 文件组织集群访问

Kubernetes Windows 节点的资源管理

Kubernetes 云原生安全概述

Kubernetes Pod安全性标准

Kubernetes Pod安全性准入

Kubernetes Pod安全策略

Kubernetes Windows节点的安全性

Kubernetes API访问控制

Kubernetes 基于角色的访问控制良好实践

Kubernetes 限制范围

Kubernetes 资源配额

Kubernetes 进程ID约束与预留

Kubernetes 节点资源管理器

Kubernetes 调度器

Kubernetes 将Pod指派给节点

Kubernetes Pod开销

Kubernetes 污点和容忍度

Kubernetes Pod优先级和抢占

Kubernetes 节点压力驱逐

Kubernetes API发起的驱逐

Kubernetes 扩展资源的资源装箱

Kubernetes 调度框架

Kubernetes 调度器性能调优

Kubernetes 管理资源

Kubernetes 集群网络系统

Kubernetes 系统组件指标

Kubernetes 日志架构

Kubernetes 系统日志

Kubernetes 追踪系统组件

Kubernetes 代理

Kubernetes API优先级和公平性

Kubernetes 安装扩展（Addons）

Kubernetes 定制资源

Kubernetes 通过聚合层扩展API

Kubernetes Operator模式

Kubernetes 网络插件

Kubernetes 设备插件

Kubernetes 服务目录

Kubernetes 调试Pod

Kubernetes 调试Service

Kubernetes 调试StatefulSet

Kubernetes 调试Init容器

Kubernetes 确定Pod失败的原因

Kubernetes 获取正在运行容器的Shell

Kubernetes 调试运行中的Pod

Kubernetes 资源指标管道

Kubernetes 节点健康监测

Kubernetes 使用crictl对Kubernetes节点进行调试

Kubernetes Windows调试提示

Kubernetes 使用telepresence在本地开发和调试服务

Kubernetes 审计

Kubernetes 资源监控工具

Kubernetes 将节点上的容器运行时从Docker Engine改为containerd

Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd

Kubernetes CNI插件相关错误故障排除

Kubernetes 查明节点上所使用的容器运行时

Kubernetes 检查弃用Dockershim是否对你有影响

Kubernetes 从dockershim迁移遥测和安全代理

Kubernetes 使用kubeadm进行证书管理

Kubernetes 配置cgroup驱动

Kubernetes 重新配置kubeadm集群

Kubernetes 升级kubeadm集群

Kubernetes 添加Windows节点

Kubernetes 升级Windows节点

Kubernetes 手动生成证书

Kubernetes 为命名空间配置默认的内存请求和限制

Kubernetes 为命名空间配置默认的CPU请求和限制

Kubernetes 配置命名空间的最小和最大内存约束

Kubernetes 为命名空间配置CPU最小和最大约束

Kubernetes 为命名空间配置内存和CPU配额

Kubernetes 配置命名空间下Pod配额

Kubernetes 使用Antrea提供NetworkPolicy

Kubernetes 使用Calico提供NetworkPolicy

Kubernetes 使用Cilium提供NetworkPolicy

Kubernetes 使用kube-router提供NetworkPolicy

Kubernetes 使用Romana提供NetworkPolicy

Kubernetes 使用Weave Net提供NetworkPolicy

Kubernetes IP Masquerade Agent用户指南

Kubernetes 云管理控制器

Kubernetes 验证签名的容器镜像

Kubernetes 运行 etcd 集群

Kubernetes 为系统守护进程预留计算资源

Kubernetes 为节点发布扩展资源

Kubernetes 以非root用户身份运行Kubernetes节点组件

Kubernetes 使用CoreDNS进行服务发现

Kubernetes 使用KMS驱动进行数据加密

Kubernetes 使用Kubernetes API访问集群

Kubernetes 使用NUMA感知的内存管理器

Kubernetes 保护集群

Kubernetes 关键插件Pod的调度保证

Kubernetes 升级集群

Kubernetes 名字空间演练

Kubernetes 启用/禁用Kubernetes API

Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache

Kubernetes 在Kubernetes集群中使用sysctl

Kubernetes 在运行中的集群上重新配置节点的kubelet

Kubernetes 在集群中使用级联删除

Kubernetes 声明网络策略

Kubernetes 安全地清空一个节点

Kubernetes 开发云控制器管理器

Kubernetes 开启服务拓扑

Kubernetes 控制节点上的CPU管理策略

Kubernetes 控制节点上的拓扑管理策略

Kubernetes 改变默认StorageClass

Kubernetes 更改PersistentVolume的回收策略

Kubernetes 自动扩缩集群DNS服务

Kubernetes 自定义DNS服务

Kubernetes 调试DNS问题

Kubernetes 迁移多副本的控制面以使用云控制器管理器

Kubernetes 通过名字空间共享集群

Kubernetes 通过配置文件设置Kubelet参数

Kubernetes 配置API对象配额

Kubernetes 限制存储消耗

Kubernetes 静态加密Secret数据

Kubernetes 为容器和Pod分配内存资源

Kubernetes 为Windows Pod和容器配置GMSA

Kubernetes 为Windows的Pod和容器配置RunAsUserName

Kubernetes 为容器和Pods分配CPU资源

Kubernetes 创建Windows HostProcess Pod

Kubernetes 配置Pod的服务质量

Kubernetes 为容器分派扩展资源

Kubernetes 配置Pod以使用卷进行存储

Kubernetes 配置Pod以使用PersistentVolume作为存储

Kubernetes 配置Pod使用投射卷作存储

Kubernetes 为Pod或容器配置安全上下文

Kubernetes 为Pod配置服务账户

Kubernetes 从私有仓库拉取镜像

Kubernetes 配置存活、就绪和启动探测器

Kubernetes 将Pod分配给节点

Kubernetes 用节点亲和性把Pods分配到节点

Kubernetes 配置Pod初始化

Kubernetes 为容器的生命周期事件设置处理函数

Kubernetes 配置Pod使用ConfigMap

Kubernetes 在Pod中的容器之间共享进程命名空间

Kubernetes 创建静态Pod

Kubernetes 将Docker Compose文件转换为Kubernetes资源

Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器

Kubernetes 使用名字空间标签来实施Pod安全性标准

Kubernetes 通过配置内置准入控制器实施Pod安全标准

Kubernetes 使用配置文件对Kubernetes对象进行声明式管理

Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理

Kubernetes 使用指令式命令管理Kubernetes对象

Kubernetes 使用配置文件对Kubernetes对象进行命令式管理

Kubernetes 使用kubectl patch更新API对象

Kubernetes 使用kubectl管理Secret

Kubernetes 使用配置文件管理Secret

Kubernetes 使用Kustomize管理Secret

Kubernetes 为容器设置启动时要执行的命令和参数

Kubernetes 为容器设置环境变量

Kubernetes 定义相互依赖的环境变量

Kubernetes 通过环境变量将Pod信息呈现给容器

Kubernetes 通过文件将Pod信息呈现给容器

Kubernetes 使用Secret安全地分发凭证

Kubernetes 使用Deployment运行一个无状态应用

Kubernetes 运行一个单实例有状态应用

Kubernetes 运行一个有状态的应用程序

Kubernetes 删除StatefulSet

Kubernetes 强制删除StatefulSet中的Pods

Kubernetes Pod水平自动扩缩

Kubernetes HorizontalPodAutoscaler演练

Kubernetes 为应用程序设置干扰预算（Disruption Budget）

Kubernetes 从Pod中访问Kubernetes API

Kubernetes 扩缩StatefulSet

Kubernetes 使用CronJob运行自动化任务

Kubernetes 使用工作队列进行粗粒度并行处理

Kubernetes 使用工作队列进行精细的并行处理

Kubernetes 使用索引作业完成静态工作分配下的并行处理

Kubernetes 使用展开的方式进行并行处理

Kubernetes 部署和访问Kubernetes仪表板（Dashboard）

Kubernetes 访问集群

Kubernetes 使用端口转发来访问集群中的应用

Kubernetes 使用服务来访问集群中的应用

Kubernetes 使用Service把前端连接到后端

Kubernetes 创建外部负载均衡器

Kubernetes 列出集群中所有运行容器的镜像

Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress

Kubernetes 为集群配置DNS

Kubernetes 同Pod内的容器使用共享卷通信

Kubernetes 访问集群上运行的服务

Kubernetes 配置对多集群的访问

Kubernetes 使用CustomResourceDefinition扩展Kubernetes API

Kubernetes CustomResourceDefinition的版本

Kubernetes 配置聚合层

Kubernetes 安装一个扩展的API server

Kubernetes 配置多个调度器

Kubernetes 使用HTTP代理访问Kubernetes API

Kubernetes 使用SOCKS5代理访问Kubernetes API

Kubernetes 设置Konnectivity服务

Kubernetes 为kubelet配置证书轮换

Kubernetes 手动轮换CA证书

Kubernetes 管理集群中的TLS认证

Kubernetes 对DaemonSet执行滚动更新

Kubernetes 对DaemonSet执行回滚

Kubernetes 使用Helm安装Service Catalog

Kubernetes 使用SC安装服务目录

Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目

Kubernetes 验证IPv4/IPv6双协议栈

Kubernetes 调度GPUs

Kubernetes 管理巨页（HugePages）

Kubernetes 配置kubelet镜像凭据提供程序

Kubernetes 用插件扩展kubectl

Kubernetes 使用AppArmor限制容器对资源的访问

Kubernetes 在集群级别应用Pod安全标准

Kubernetes 在名字空间级别应用Pod安全标准

Kubernetes 使用seccomp限制容器的系统调用

Kubernetes 公开外部IP地址以访问集群中应用程序

Kubernetes 示例：使用Redis部署PHP留言板应用程序

Kubernetes StatefulSet基础

Kubernetes 示例：使用Persistent Volumes部署WordPress和MySQL

Kubernetes 示例：使用StatefulSet部署Cassandra

Kubernetes 运行ZooKeeper，一个分布式协调系统

Kubernetes 使用源IP

Kubernetes(k8s)手册 Kubernetes Windows节点的安全性

2024-02-25 开发教程 Kubernetes(k8s)手册匿名 2℃

Windows 节点的安全性

本页介绍特定于 Windows 操作系统的安全注意事项和最佳实践。

保护节点上的机密数据

在 Windows 上，来自 Secrets 的数据以明文形式写入节点的本地存储（与在 Linux 上使用 tmpfs / in-memory 文件系统相比）。作为集群运营商，您应该采取以下两项额外措施：

使用文件 ACL 来保护 Secrets 的文件位置。
使用 BitLocker 应用卷级加密。

容器用户

可以为 Windows Pod 或容器指定 RunAsUsername 以作为特定用户执行容器进程。这大致相当于 RunAsUser。

Windows 容器提供两个默认用户帐户，ContainerUser 和 ContainerAdministrator。 Microsoft 的安全 Windows 容器文档中的何时使用 ContainerAdmin 和 ContainerUser 用户帐户中介绍了这两个用户帐户之间的区别。

本地用户可以在容器构建过程中添加到容器镜像中。

Note:

基于 Nano Server的图像默认以 ContainerUser 身份运行
基于 Server Core的镜像默认作为 ContainerAdministrator 运行

Windows 容器还可以通过使用组托管服务帐户作为 Active Directory 身份运行

Pod 级别的安全隔离

Windows 节点不支持 Linux 特定的 pod 安全上下文机制（例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能）。

Windows 不支持特权容器。相反，可以在 Windows 上使用 HostProcess 容器来执行许多由特权容器在 Linux 上执行的任务。

上一节： Kubernetes Pod安全策略

下一节： Kubernetes API访问控制