Kubernetes Windows安全

一、保护节点上的Secret数据

在 Windows 上，Secret 数据以明文形式写入节点的本地存储（与在 Linux 上使用 tmpfs / 内存中文件系统不同），因此需要采取额外的措施来保护 Secret 文件的位置和卷级加密。具体来说，集群操作员应该采取以下两项额外措施：

1、使用文件 ACL 来保护 Secret 的文件位置。通过配置适当的访问控制列表（ACL），可以限制对 Secret 文件的访问权限，从而增强其安全性。例如，可以仅允许特定的用户或组访问 Secret 文件，或者限制对文件的读取、写入和执行权限。

2、使用 BitLocker 进行卷级加密。BitLocker 是一种用于保护 Windows 系统磁盘和固定数据驱动器上的数据的加密技术。通过启用 BitLocker，可以将整个卷上的数据加密，从而防止未经授权的用户访问 Secret 数据。此外，BitLocker 还可以提供其他安全功能，如 TPM 支持、启动顺序控制和恢复选项等。

二、容器用户

对于容器用户，可以为 Windows Pod 或容器指定 RunAsUsername，以作为特定用户执行容器进程。这大致相当于 Linux 中的 RunAsUser。通过这种方式，可以确保容器内的进程以与主机操作系统相同的用户身份运行，从而提高容器内应用程序的安全性。

Windows 容器提供两个默认用户帐户：

1、ContainerUser：对于不需要 Windows 中的管理员特权的所有其他场景，可使用 ContainerUser 帐户。例如，在 Kubernetes 中，如果用户为 ContainerAdministrator，并且允许将 hostvolumes 装载到 Pod，则用户可以装载 .ssh 文件夹并添加公钥。

2、ContainerAdministrator：ContainerAdministrator 帐户使你能够使用容器进行管理：安装服务和软件（例如在容器中启用 IIS）、进行配置更改，以及创建新帐户。这些任务对可能在自定义本地部署环境中运行的多种 IT 场景都非常重要。

注意：

• 在容器构建过程中，可以将本地用户添加到容器镜像中；
• 基于 Nano Server 的镜像默认以 ContainerUser 运行；
• 基于 Server Core 的镜像默认以 ContainerAdministrator 运行；
• Windows 容器还可以通过使用组管理的服务账号作为 Active Directory 身份运行。

三、Pod级安全隔离

1、Windows 节点不支持特定于 Linux 的 Pod 安全上下文机制（例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 权能字）。

2、Windows 上不支持特权容器。 然而，可以在 Windows 上使用 HostProcess 容器来执行 Linux 上特权容器执行的许多任务。