docker安全&k8s安全

同一个进程，在docker中的进程ID和主机的进程ID不同
docker默认并不能运行主机中的所有命名
docker中的root并不是主机中的root

docker中关于安全规则的命令

以主机指定用户运行容器
docker run --user=1000 centos

添加/删除容器中的某功能并运行
docker run --cap-add MAC_ADMIN centos
docker run --cap-drop KILL centos

容器能运行主机所有命令
docker run --privileged centos

容器运行在pod中，可以在容器级别或pod级别中设备安全规则
如果在pod级别中设置规则，pod中的容器都将使用该规则
如果pod和容器同时指定规则，容器中的规则会覆盖pod中的规则

pod或容器中的安全上下文

apiVersion: v1
kind: Pod
metadata:
  name: web-pod
spec:
  securityContext:
    runAsUser: 1000
  containers:
    - name:centos
      image: nginx
      command: [ "sleep", "1000" ]

apiVersion: v1
kind: Pod
metadata:
  name: web-pod
spec:
  containers:
    - name:centos
      image: nginx
      command: [ "sleep", "1000" ]
      securityContext:
        runAsUser: 1000
        capabilities:         # 增加容器可以执行的命令（该字段只在容器级别使用）
          add: ["MAC_ADMIN"]

查看pod中的容器以什么身份运行
kubectl exec centos --whoami