为 Windows 的 Pod 和容器配置 RunAsUserName

FEATURE STATE: Kubernetes v1.17 [beta]

本页展示如何为运行在 Windows 节点上的 pod 和容器启用并使用 RunAsUserName 功能。 此功能旨在成为 Windows 版的 runAsUser(Linux),允许用户使用与默认用户名不同的 用户名运行容器 entrypoint。

说明: 此功能目前处于 Beta 状态。RunAsUserName 的整体功能不会出现变更, 但是关于用户名验证的部分可能会有所更改。

准备开始

你必须有一个 Kubernetes 集群,并且 kubectl 必须能和集群通信。 集群应该要有 Windows 工作节点,将在其中调度运行 Windows 工作负载的 pod 和容器。

为 Pod 设置 Username

要指定运行 Pod 容器时所使用的用户名,请在 Pod 声明中包含 securityContextPodSecurityContext)字段, 并在其内部包含 windowsOptionsWindowsSecurityContextOptions) 字段的 runAsUserName 字段。

你为 Pod 指定的 Windows SecurityContext 选项适用于该 Pod 中(包括 init 容器)的所有容器。

这儿有一个已经设置了 runAsUserName 字段的 Windows Pod 的配置文件:

windows/run-as-username-pod.yaml 为 Windows 的 Pod 和容器配置 RunAsUserName - 图1

  1. apiVersion: v1
  2. kind: Pod
  3. metadata:
  4. name: run-as-username-pod-demo
  5. spec:
  6. securityContext:
  7. windowsOptions:
  8. runAsUserName: "ContainerUser"
  9. containers:
  10. - name: run-as-username-demo
  11. image: mcr.microsoft.com/windows/servercore:ltsc2019
  12. command: ["ping", "-t", "localhost"]
  13. nodeSelector:
  14. kubernetes.io/os: windows

创建 Pod:

  1. kubectl apply -f https://k8s.io/examples/windows/run-as-username-pod.yaml

验证 Pod 容器是否在运行:

  1. kubectl get pod run-as-username-pod-demo

获取该容器的 shell:

  1. kubectl exec -it run-as-username-pod-demo -- powershell

检查运行 shell 的用户的用户名是否正确:

  1. echo $env:USERNAME

输出结果应该是这样:

  1. ContainerUser

为容器设置 Username

要指定运行容器时所使用的用户名,请在容器清单中包含 securityContextSecurityContext)字段,并在其内部包含 windowsOptionsWindowsSecurityContextOptions)字段的 runAsUserName 字段。

你为容器指定的 Windows SecurityContext 选项仅适用于该容器,并且它会覆盖 Pod 级别设置。

这里有一个 Pod 的配置文件,其中只有一个容器,并且在 Pod 级别和容器级别都设置了 runAsUserName

windows/run-as-username-container.yaml 为 Windows 的 Pod 和容器配置 RunAsUserName - 图2

  1. apiVersion: v1
  2. kind: Pod
  3. metadata:
  4. name: run-as-username-container-demo
  5. spec:
  6. securityContext:
  7. windowsOptions:
  8. runAsUserName: "ContainerUser"
  9. containers:
  10. - name: run-as-username-demo
  11. image: mcr.microsoft.com/windows/servercore:ltsc2019
  12. command: ["ping", "-t", "localhost"]
  13. securityContext:
  14. windowsOptions:
  15. runAsUserName: "ContainerAdministrator"
  16. nodeSelector:
  17. kubernetes.io/os: windows

创建 Pod:

  1. kubectl apply -f https://k8s.io/examples/windows/run-as-username-container.yaml

验证 Pod 容器是否在运行:

  1. kubectl get pod run-as-username-container-demo

获取该容器的 shell:

  1. kubectl exec -it run-as-username-container-demo -- powershell

检查运行 shell 的用户的用户名是否正确(应该是容器级别设置的那个):

  1. echo $env:USERNAME

输出结果应该是这样:

  1. ContainerAdministrator

Windows Username 的局限性

想要使用此功能,在 runAsUserName 字段中设置的值必须是有效的用户名。 它必须是 DOMAIN\USER 这种格式,其中 DOMAIN\ 是可选的。 Windows 用户名不区分大小写。此外,关于 DOMAINUSER 还有一些限制:

  • runAsUserName 字段不能为空,并且不能包含控制字符(ASCII 值:0x00-0x1F0x7F
  • DOMAIN 必须是 NetBios 名称或 DNS 名称,每种名称都有各自的局限性:
    • NetBios 名称:最多 15 个字符,不能以 .(点)开头,并且不能包含以下字符:\ / : * ? " < > |
    • DNS 名称:最多 255 个字符,只能包含字母、数字、点和中划线,并且不能以 .(点)或 -(中划线)开头和结尾。
  • USER 最多不超过 20 个字符,不能 包含点或空格,并且不能包含以下字符:" / \ [ ] : ; | = , + * ? < > @

runAsUserName 字段接受的值的一些示例:ContainerAdministratorContainerUserNT AUTHORITY\NETWORK SERVICENT AUTHORITY\LOCAL SERVICE

关于这些限制的更多信息,可以查看这里这里

接下来