rule: RunAsAny volumes: - emptyDir Hardening Guide v2.3.5 10 - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac.authorization supplementalGroups: rule: RunAsAny volumes: - emptyDir - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac

supplementalGroups: rule: RunAsAny volumes: - emptyDir - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac.authorization supplementalGroups: rule: RunAsAny volumes: - emptyDir - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac

supplementalGroups: rule: RunAsAny volumes: - emptyDir - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac.authorization supplementalGroups: rule: RunAsAny volumes: - emptyDir - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac.authorization

/run/secrets/kubernetes.io/serviceaccount © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 通过PV/PVC实现应用数据持久化 虽然可以通过ConfigMap和Secret来实现对应用的配置管理，但不管是有状态应用还是无状态应用，一般都会在应用运行 过程中产生业务数据，那么这部分数据的持久化存储就十分重要。 从存储的使用和管理角度来看： • 存储管理团队：维护存储设备，确保存储的稳定性 • 云平台管理团队：创建StrorageClass或PV，根据资源特性和需求做 好存储的使用规划 • 应用开发团队：按需创建PVC，应用绑定PVC使用存储资源 © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 基于NFS的PV动态供给使用示例 目前基 nfs-client-provisioner并配置了StorageClass，并将其设置为默认缺省存储，那么对于使用者： Step 1：创建PVC，自动关联StorageClass，动态创建PV Step 2：创建应用工作负载（Pod、 Deployment、StatefulSet等）， 关联PVC使用 © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential

这样，您就能更加轻松地在集群中移动容器。 7.3.2. Node(节点) 执行请求和分配任务的计算机。由 Kubernetes 主机负责对节点进行控制。 7.3.3. 存储卷(PV/PVC) 存储卷也叫持久化卷，支持本地存储和网络存储， 例如 hostpath，Ceph RBD，NFS， Portworx 等，只支持容量(capacity)和访问模式(accessModes)两个属性。其中容量 简称 PV 是一个 K8S 资源对象，所以我们可以单独创建一个 PV。它 不和 Pod 直接发生关系，而是通过 Persistent Volume Claim，简称 PVC 来实现动态绑定。 Pod 定义里指定的是 PVC，然后 PVC 会根据 Pod 的要求去自动绑定合适的 PV 给 Pod 使 用。 访问模式(accessModes)有三种： Page 34 a) ReadWriteOnce(被单个

Domain Name MDM Meta Data Manager OVA Open Virtualization Appliance PV Persistent Volume PVC Persistent Volume Claim RKE SUSE Rancher Kubernetes Engine RMT Repository Mirroring Tool SAN Velero pod to backup metadata and stage to target storage in bare-metal environments. It performs PVC snapshot and metadata backup for a VMware cloud native storage. • PowerProtect: This namespace contains the PowerProtect namespace. • Get, List, and Watch for all the namespaces in the cluster and PV, PVC, storageclass, deployments, and pods in all the namespaces. Note: The admin-user service account

seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny volumes: - emptyDir - secret - persistentVolumeClaim - downwardAPI - configMap - projected --- apiVersion: rbac.authorization.k8s.io/v1 kind: