評估 Kubernetes 中 Docker 的安全性（+Rancher）

Question

我已經使用 docker docker-bench評估了 Kubernetes 集群中 Docker 容器的安全配置。 我注意到所有 Kubernetes 容器，例如

kube-proxy
kubelet
kube-apiserver
k8s_kube-flannel_canal
k8s_POD_canal
k8s_trident-main_trident-csi
...

以root身份運行。 這是必要的嗎？

此外，一些 Kubernetes 容器，例如k8s_trident-main_trident 、 kube-proxy和kubelet以特權模式運行。 我想這是 Kubernetes 正常工作所必需的。

我的問題是：您如何正確評估 Kubernetes 中 Docker 的安全配置？ 據我所知，Kubernetes 涵蓋了大多數設置，例如 CPU/內存使用、PID cgroup 限制和健康檢查。 不過現在不知道能不能說一下Docker通過Kubernetes和Rancher（也用RancherOS）管理時的安全配置。 重新定義上一個問題：除了強化 Kubernetes 之外，還應該采取哪些步驟/控制來強化 Docker？

Answer 1

...以 root 身份運行。 這是必要的嗎？

如果他們中的一些人這樣做，你可以假設應該有很好的理由。 相信kubernetes的創建者對最小權限原則的概念都比較熟悉。 所以我會說：是的，很可能有必要能夠在節點系統上執行所需的操作。 然而，它可以作為例子在這里討論。

例如kubeadm真的需要 root 權限嗎？ 嗯...能夠執行所有必需的操作，是的。 與此答案進行比較。

然而，關於以非 root 用戶身份運行整個kubernetes集群的想法也出現了。 我發現一個有趣的演示文稿討論了這個概念。

您在問題中觸及了非常廣泛的主題，不可能提供一個正確的答案。 我會說它對於一篇廣泛的博客文章甚至電子書來說都是相當重要的（與這本相比）。

此外，一些 Kubernetes 容器，例如k8s_trident-main_trident 、 kube-proxy和kubelet以特權模式運行。 我想這是 Kubernetes 正常工作所必需的。

如果您希望您的容器也能夠在主機系統上執行某些操作，則無法避免特權模式。

您可能還想熟悉 kubernetes 官方文檔中的以下文章：

https://kubernetes.io/docs/concepts/security/overview/

https://kubernetes.io/docs/tasks/administer-cluster/securing-a-cluster/

我希望它有幫助。