Linux 节点的安全性

本篇介绍特定于 Linux 操作系统的安全注意事项和最佳实践。

保护节点上的 Secret 数据

在 Linux 节点上,由内存支持的卷(例如 secret 卷挂载,或带有 medium: MemoryemptyDir) 使用 tmpfs 文件系统实现。

如果你配置了交换分区并且使用较旧的 Linux 内核(或者内核是最新的,但其中某项配置是 Kubernetes 所不支持的), 内存支持的卷可能会将数据写入持久存储。

Linux 内核从 6.3 版本开始正式支持 noswap 选项, 因此建议使用 6.3 或更新版本的内核, 或者如果节点上启用了交换分区,确保内核通过补丁向下移植支持 noswap 选项。

更多信息参阅交换内存管理

最后修改 July 15, 2025 at 1:45 PM PST: [zh-cn]sync linux-security secrets-good-practices (60feda2f4c)