Spark Operator 安全加固：非 root 用户运行方案解析

背景与挑战

在 Kubernetes 生产环境中，安全合规团队通常会强制要求容器以非 root 用户运行，并限制特权操作。对于 Spark Operator 这类需要管理 Spark 作业生命周期的关键组件，如何在保持功能完整性的同时满足这些安全要求，成为许多企业面临的实际挑战。

核心问题分析

Spark Operator 默认容器镜像设计存在两个关键安全限制：

1. 用户身份依赖：控制器组件默认需要以 UID 185（spark 用户）运行，若改为任意用户（如常见的 1000）会导致 Ivy 依赖管理工具因缺少家目录而报错
2. 文件系统写入需求：Webhook 组件需要写入证书文件，控制器需要临时目录进行作业调度

技术解决方案

控制器组件配置方案

controller:
  securityContext:
    privileged: false
    allowPrivilegeEscalation: false 
    runAsNonRoot: true
    readOnlyRootFilesystem: true
    runAsUser: 185  # 必须使用镜像内建用户
    runAsGroup: 2000
    capabilities:
      drop: [ALL]
      add: ["NET_BIND_SERVICE"]  # 保留必要的网络能力
  volumes:
    - name: tmp-dir
      emptyDir:
        sizeLimit: 1Gi
  volumeMounts:
    - name: tmp-dir
      mountPath: /tmp

Webhook 组件配置方案

webhook:
  securityContext:
    privileged: false
    allowPrivilegeEscalation: false
    runAsNonRoot: true 
    readOnlyRootFilesystem: true
    runAsUser: 1000  # 可自定义用户
    runAsGroup: 2000
    capabilities:
      drop: [ALL]
      add: ["NET_BIND_SERVICE"]
  volumes:
    - name: cert-dir
      emptyDir:
        sizeLimit: 500Mi
  volumeMounts:
    - name: cert-dir
      mountPath: /etc/k8s-webhook-server/serving-certs

应用层适配建议

对于 Spark 作业本身，还需要额外配置：

sparkConf:
  "spark.jars.ivy": "/.ivy2"  # 显式指定 Ivy 路径
volumes:
  - name: ivy-home
    emptyDir:
      sizeLimit: 500Mi
driver:
  volumeMounts:
    - name: ivy-home
      mountPath: "/.ivy2"  # 为依赖解析提供可写空间

安全实践启示

1. 最小权限原则：通过 capabilities 精确控制所需权限，仅保留 NET_BIND_SERVICE
2. 文件系统隔离：使用 emptyDir 卷满足特定目录的写入需求，同时保持根文件系统只读
3. 用户身份管理：区分系统组件身份（spark 用户）与应用身份（自定义用户）
4. 资源限额：为临时卷设置合理的 sizeLimit 防止资源滥用

这种配置方案已在生产环境验证可行，既满足了安全团队的合规要求，又保证了 Spark Operator 的核心功能不受影响。对于企业级部署，建议将此作为基线安全配置纳入持续集成流程。