为了提高安全性,建议不要在托管在 Azure Kubernetes 服务 上的容器中以根用户身份运行。 若要以非根用户身份运行容器,请在部署 Pod 或其他 Azure Kubernetes 资源时在 YAML 文件中指定以下 securityContext设置。
SecurityContext
- 资源:Pod/Deployment/ DaemonSet / StatefulSet / ReplicaSet / ReplicationController / Job / CronJob
- 参数:
- runAsNonRoot (可选):如果为 true,则容器在没有根权限的情况下运行。 默认为 false。
- runAsUser (可选):如果用户编号不是 0 (root),则容器使用该用户 ID(而不是根用户)运行。
默认情况下,字段 securityContext 为 empty ({}). 若要在 YAML 文件中实现这些字段,请参阅 为 Pod 或容器配置安全上下文。 添加这些配置后,重新部署 Pod 以强制实施更新。 如果省略该 securityContext 字段,Pod 将作为根运行。