K8s 1.30：对 Pod 使用用户命名空间的支持进阶至 Beta

文章预览

作者: Rodrigo Campos Catelin (Microsoft), Giuseppe Scrivano (Red Hat), Sascha Grunert (Red Hat) 译者: Michael Yao (DaoCloud) Linux 提供了不同的命名空间来将进程彼此隔离。例如，一个典型的 Kubernetes Pod 运行在一个网络命名空间中可以隔离网络身份，运行在一个 PID 命名空间中可以隔离进程。 Linux 有一个以前一直未被容器化应用所支持的命名空间是 用户命名空间 [1] 。这个命名空间允许我们将容器内使用的用户标识符和组标识符（UID 和 GID）与主机上的标识符隔离开来。 这是一个强大的抽象，允许我们以 “root” 身份运行容器：我们在容器内部有 root 权限，可以在 Pod 内执行所有 root 能做的操作， 但我们与主机的交互仅限于非特权用户可以执行的操作。这对于限制容器逃逸的影响非常有用。 容器逃逸是指容器内的进程利用容器运行时或内核中的某些未打补丁的漏洞逃逸到 ………………………………