Windows 节点的安全性

本页介绍特定于 Windows 操作系统的安全注意事项和最佳实践。

保护节点上的机密数据

在 Windows 上，来自 Secrets 的数据以明文形式写入节点的本地存储（与在 Linux 上使用 tmpfs / in-memory 文件系统相比）。 作为集群运营商，您应该采取以下两项额外措施：

1. 使用文件 ACL 来保护 Secrets 的文件位置。
2. 使用 BitLocker 应用卷级加密。

容器用户

可以为 Windows Pod 或容器指定 RunAsUsername 以作为特定用户执行容器进程。 这大致相当于 RunAsUser。

Windows 容器提供两个默认用户帐户，ContainerUser 和 ContainerAdministrator。 Microsoft 的安全 Windows 容器文档中的何时使用 ContainerAdmin 和 ContainerUser 用户帐户中介绍了这两个用户帐户之间的区别。

本地用户可以在容器构建过程中添加到容器镜像中。

Note:

• 基于 Nano Server 的图像默认以 ​ContainerUser ​身份运行
• 基于 Server Core 的镜像默认作为 ​ContainerAdministrator ​运行

Windows 容器还可以通过使用组托管服务帐户作为 Active Directory 身份运行

Pod 级别的安全隔离

Windows 节点不支持 Linux 特定的 pod 安全上下文机制（例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能）。

Windows 不支持特权容器。 相反，可以在 Windows 上使用 HostProcess 容器来执行许多由特权容器在 Linux 上执行的任务。