容器安全最佳实践

容器安全最佳实践。一、镜像安全：使用官方基础镜像或可信镜像源，定期更新基础镜像修复漏洞，使用多阶段构建减小镜像体积，扫描镜像漏洞使用Trivy或Clair，不使用latest标签固定版本。二、运行时安全：以非root用户运行容器USER指令，只读文件系统read_only配置，限制容器资源CPU和内存limits，禁止特权模式privileged除非必要，使用securityContext配置安全上下文。三、网络安全：网络策略NetworkPolicy限制Pod间通信，服务间使用mTLS加密通信，配置网络分段隔离不同环境。四、K8s安全：RBAC最小权限原则，Pod安全策略限制能力，Secret加密存储敏感信息，审计日志记录操作。