Elastic Cloud on Kubernetes中非root用户运行Elasticsearch的最佳实践

在Kubernetes环境中运行Elasticsearch时，安全性是一个至关重要的考虑因素。本文将详细介绍如何在Elastic Cloud on Kubernetes(ECK)中配置Elasticsearch以非root用户身份运行，确保容器环境的安全性。

为什么需要非root用户运行

默认情况下，ECK部署的Elasticsearch容器会以uid=1000(elasticsearch)和gid=1000(elasticsearch)运行，但同时会保留root组(0)的权限。虽然这不会赋予内核级别的root特权，但从安全最佳实践角度考虑，完全移除root组关联更为理想。

核心配置方案

要实现完全非root运行，关键在于正确配置Pod的安全上下文。以下是关键配置项说明：

1. runAsGroup：指定容器运行时的主组ID
2. runAsUser：指定容器运行时的用户ID
3. fsGroup：定义文件系统组，确保卷挂载有正确权限
4. 容器级安全上下文：限制容器能力

完整配置示例

apiVersion: elasticsearch.k8s.elastic.co/v1
kind: Elasticsearch
metadata:
  name: secure-cluster
spec:
  version: 8.17.3
  nodeSets:
  - name: default
    config:
      node.store.allow_mmap: false
    count: 1
    volumeClaimTemplates:
    - metadata:
        name: elasticsearch-data
      spec:
        accessModes:
        - ReadWriteOnce
        resources:
          requests:
            storage: 6Gi
    podTemplate:
      spec:
        containers:
        - name: elasticsearch
          securityContext:
            allowPrivilegeEscalation: false
            capabilities:
              drop:
                - ALL
            privileged: false
            readOnlyRootFilesystem: true
            runAsNonRoot: true
        securityContext:
          runAsGroup: 1001
          runAsUser: 1001
          fsGroup: 1001

配置解析

1. runAsGroup=1001：确保进程以指定组运行，而非默认的root组
2. runAsUser=1001：指定运行用户ID
3. fsGroup=1001：保证持久卷能被容器用户读写
4. 容器安全限制：
   • 禁止特权提升
   • 移除所有Linux能力
   • 禁止特权模式
   • 只读根文件系统
   • 强制非root运行

实现效果

应用此配置后，容器内的进程将显示为：

uid=1001 gid=1001 groups=1001

完全移除了root组的关联，实现了真正的非root运行环境。

兼容性考虑

这种配置特别适合需要运行在OpenShift等严格安全环境中的场景。OpenShift要求镜像必须支持任意用户运行，且所有需要写入的目录和文件必须属于root组并具有组读写权限。

总结

通过合理配置Pod安全上下文，我们可以确保Elasticsearch在Kubernetes中以最小权限运行，符合安全最佳实践。这种方法不仅提高了安全性，还能满足各种严格合规环境的要求。