参考官方文档1https://kubernetes.io/docs/concepts/workloads/pods/ephemeral-containers/ 因为还是实验功能 1.16 +，需要 --feature-gates=EphemeralContainers=true 临时容器 : 在原 ...

最小特权原则 AppArmor限制容器对资源访问（debian，ubuntu） Seccomp 限制容器进程系统调用 pod 安全上下文 PodSecurityPolicy（1.25 已删除） 替换方案 OPA Gatekeeper Secret存储敏感数据 安全沙箱运行容器 gVisor 可 ...

k8s 安全性Kubernetes 的安全性归纳为了以下四个方面： Infrastructure（基础设施） : 主要包括网络、存储、物理机、操作系统，等等 Kubernetes 集群自身 Containers（容器）及其运行时 Applications（业务应用） 措施1. 集群版本更新及 ...

Local Persistent VolumeKubernetes 能够直接使用宿主机上的本地磁盘目录，而不依赖于远程存储服务，来提供“持久化”的容器 Volume。 比于正常的 PV，一旦这些节点宕机且不能恢复时，Local Persistent Volume 的数据就可能丢失,使用 Local ...

机制说明Kubernetes 作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介，也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。 Kubernetes 使用了认证（Auth ...

集群开启名叫 DefaultStorageClass 的 Admission Plugin，它就会为 PVC 和 PV 自动添加一个默认的 StorageClass；否则，PVC 的 storageClassName 的值就是’’，这也意味着它只能够跟 storageClassName 也是’’ ...

ansible 安装1. git安装123git clone git://github.com/ansible/ansible.git --recursive cd ./ansible source ./hacking/env-setup 2. yum/apt 安装12# yum install - ...

Volume容器销毁时，保存在容器内部文件系统中的数据会被清除，为了持久化保存容器数据，可以使用 Kubernetes Volum。 Volume 生命周期独立于容器， Pod 中容器可能销毁重建，但 Volume 会被保留。 emptyDir一个 emptyDir Volume 是 Host 上 ...

Secret 存在意义Secret 解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。 Secret 可以以 Volume 或者环境变量的方式使用. (环境变量无法感知 secret 和 configmap 的更新 ) Secret 有三种类 ...

configMapConfigMap : 许多应用程序会从 配置文件 、 命令行参数 或 环境变量 中读取配置信息。 ConfigMap API : 给我们提供了向容器中注入配置信息的机制，可以被用来保存单个属性，也可以用来保存整个配置文件或者 JSON 二进制大对象 configmap 注入方 ...