Pod 安全性标准定义了三种不同的策略（Policy），以广泛覆盖安全应用场景。 这些策略是叠加式的（Cumulative），安全级别从高度宽松至高度受限。 Profile描述Privileged不受限制的策略，提供最大可能范围的权限许可。此策略允许已知的特权提升。Baseline限制性最弱的策略，禁止已知的策略提升。允许使用默认的（规定最少）Pod 配置。Restricted限制性非常强的策略

在 Pod 的定义中增加 securityContext 字段，即可为 Pod 指定 Security 相关的设定。 securityContext 字段是一个 PodSecurityContext对象。通过该字段指定的内容将对该 Pod 中所有的容器生效。 Pod示例 以下面的 Pod 为例 apiVersion: v1kind: Podmetadata:name: security-

概述 Kubernetes Secret 对象可以用来储存敏感信息，例如：密码、OAuth token、ssh 密钥等。如果不使用 Secret，此类信息可能被放置在 Pod 定义中或者容器镜像中。将此类敏感信息存储到 Secret 中，可以更好地： 控制其使用降低信息泄露的风险 用户可以直接创建 Secret，Kubernetes 系统也会创建一些 Secret。 Secret有如下几种

概述 在 Kubernetes，您可以限定 Pod 只能在特定的节点上运行，或者优先选择在特定的节点上运行。通常您并不需要这样做，而应该交由 kubernetes 调度程序根据资源使用情况自动地为 Pod 分配节点。但是少数情况下，这种限定仍然是必要的，例如： 确保某些 Pod 被分配到具有固态硬盘的节点将相互通信频繁的两个 Pod 分配到同一个高可用区的节点 Kubernetes 一共提供

概述 在 Kubernetes，您可以限定 Pod 只能在特定的节点上运行，或者优先选择在特定的节点上运行。通常您并不需要这样做，而应该交由 kubernetes 调度程序根据资源使用情况自动地为 Pod 分配节点。但是少数情况下，这种限定仍然是必要的，例如： 确保某些 Pod 被分配到具有固态硬盘的节点将相互通信频繁的两个 Pod 分配到同一个高可用区的节点 Kubernetes 一共提供