菜单
开源
在 Kubernetes 中以非 root 用户运行 Alloy
Alloy Docker 镜像包含两个用户
- 一个
root用户。 - 一个名为
alloy的非 root 用户,其 UID 为473,GID 为473。
默认情况下,alloy 二进制文件以 root 用户运行。这是因为某些 Alloy 组件(例如 beyla.ebpf)需要 root 权限。
在 Kubernetes 中部署 Alloy 时,您可以配置一个非 root 用户。
在 Kubernetes 中配置 Alloy 以非 root 用户运行
注意
如果您正在使用需要 root 权限的组件(例如 beyla.ebpf),则 Alloy 无法以非 root 用户身份运行。
要以非 root 用户运行 Alloy,请为 Alloy 容器配置一个安全上下文。如果您正在使用Grafana Helm chart,可以将以下代码片段添加到 values.yaml 中
alloy:
securityContext:
runAsUser: 473
runAsGroup: 473此配置使 Alloy 二进制文件以 UID 473 和 GID 473 运行,而不是以 root 用户身份运行。
root 用户是否是安全风险?
不完全是。Linux 内核会阻止 Docker 容器访问主机资源。例如,Docker 容器看到的是虚拟文件系统而不是主机文件系统,虚拟网络而不是主机网络,虚拟进程命名空间而不是主机的进程。即使 Docker 容器内的用户是 root,也无法突破这个虚拟环境。
然而,如果 Linux 内核中存在允许 Docker 容器突破虚拟环境的 bug,那么使用 root 用户可能比使用非 root 用户更容易利用这个 bug。值得注意的是,攻击者不仅需要找到这样的 Linux 内核 bug,还需要找到一种方法让 Alloy 利用该 bug。
本页是否对您有帮助?
Grafana Labs 的相关资源
21 May
如何开始使用 OpenTelemetry 和 Grafana
本次网络研讨会涵盖了插桩的基本知识,并演示了如何在 Grafana 和 Grafana Cloud 中无缝可视化 OpenTelemetry 数据。
11 Jun
使用 Grafana 开始管理您的指标、日志和追踪
在本次网络研讨会中,我们将演示如何开始使用 LGTM Stack:Loki 处理日志,Grafana 用于可视化,Tempo 处理追踪,Mimir 处理指标。
18 Jun
Grafana Cloud 应用与前端可观测性简介
在本次网络研讨会中,我们将向您介绍 Grafana Cloud 中最新的两款优化解决方案,通过统一的可观测性更快地解决问题。