Linux 节点的安全性
本篇介绍特定于 Linux 操作系统的安全注意事项和最佳实践。
保护节点上的 Secret 数据
在 Linux 节点上,由内存支持的卷(例如 secret
卷挂载,或带有 medium: Memory 的 emptyDir)
使用 tmpfs 文件系统实现。
如果你配置了交换分区并且使用较旧的 Linux 内核(或者内核是最新的,但其中某项配置是 Kubernetes 所不支持的), 内存支持的卷可能会将数据写入持久存储。
Linux 内核从 6.3 版本开始正式支持 noswap 选项,
因此建议使用 6.3 或更新版本的内核,
或者如果节点上启用了交换分区,确保内核通过补丁向下移植支持 noswap 选项。
更多信息参阅交换内存管理。
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
最后修改 July 15, 2025 at 1:45 PM PST: [zh-cn]sync linux-security secrets-good-practices (60feda2f4c)