Захист для вузлів з операційною системою Windows
На цій сторінці описано питання безпеки та найкращі практики, специфічні для операційної системи Windows.
Захист конфіденційних даних на вузлах
У Windows дані з Secret записуються у відкритому вигляді у локальне сховище вузла (на відміну від використання tmpfs / файлових систем у памʼяті в Linux). Як оператору кластера, вам слід вжити обидва наступні додаткові заходи:
- Використовуйте контроль доступу до файлів (file ACLs), щоб захистити місце розташування файлів Secrets.
- Застосовуйте шифрування на рівні тому за допомогою BitLocker.
Користувачі контейнерів
RunAsUsername може бути вказано для Podʼів Windows або контейнерів, щоб виконувати процеси контейнера як конкретний користувач. Це приблизно еквівалентно RunAsUser.
В контейнерах Windows доступні два типові облікових записів користувачів: ContainerUser та ContainerAdministrator. Різниця між цими двома обліковими записами користувачів описана у When to use ContainerAdmin and ContainerUser user accounts в документації Microsoft Secure Windows containers.
Локальні користувачі можуть бути додані до образів контейнерів під час процесу створення контейнера.
Примітка:
- Образи на основі Nano Server запускаються як
ContainerUser - Образи на основі Server Core запускаються як
ContainerAdministrator
Контейнери Windows також можуть працювати як облікові записи активного каталогу за допомогою Group Managed Service Accounts
Ізоляція на рівні Podʼу
Механізми контексту безпеки Podʼів, специфічні для Linux (такі як SELinux, AppArmor, Seccomp або власні POSIX можливості), не підтримуються на вузлах з Windows.
Привілейовані контейнери не підтримуються на вузлах з Windows. Замість цього на вузлах з Windows можна використовувати HostProcess контейнери для виконання багатьох завдань, які виконуються привілейованими контейнерами у Linux.