王先森

前言 Kubernetes简称k8s，是当前主流的容器调度平台，被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境，在目前全面上云的趋势，有必要学习在k8s环境的下的一些攻击手法，本文非常适合刚入门或者准备学习云安全方向的安全人员，每个步骤都是亲手复现整理。文中如有错误的地方，还望各位大佬在评论区指正。 Kubernetes用户管理Kubernetes 集群中包含两类用户：一类是由 Kubernetes管理的service account,另一类是普通用户。 service account 是由 Kubernetes API管理的账户。它们都绑定到了特定的 namespace,并由 API server 自动创建，或者通过 API 调用手动创建。Service account 关联了一套凭证，存储在 Secret，这些凭证同时被挂载到 pod 中，从而允许 pod 与 kubernetes API 之间的调用。 Use Account（用户账号）：一般是指由独立于Kubernetes之外的其他服务管理的用 户账号，例如由管理员分发的密钥、Ke ...

K8S Node简介 k8s的node节点需要安装三个组件：containerd/kubelet/kube-proxy pod是存储容器的容器，但容器不止docker一种。 CRI：container runtime interface kubelet：用于操作containerd容器，维持pod的生命周期 。 kube proxy：负载均衡就是通过kube proxy组件完成的。并且，pod与pod之间的通信，各pod间的负载均衡都是通过它来实现的。默认是通过操作防火墙firewall来实现pod的映射。 kubelet安装部署创建工作目录123mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs} cd /server/tools/kubernetes/server/bincp kubelet /opt/kubernetes/bin 配置文件编写k8s-masternode1node212345678910111213141516cat > /opt/kubernetes/cfg/kubelet.conf << ...

Kubernetes MasterKubernetes Master节点部署三个服务：kube-apiserver、kube-controller-manager、kube-scheduler和一个命令工具kubectl. Master节点来负责整个集群的管理和控制，其中 kube-apiserver: 服务提供了HTTP Rest接口的关键服务进程，是Kuberneters里所有资源的增删改查等操作的唯一入口，也是集群控制的入口进程. kube-controller-manager: 服务 是kubernetes里面所有资源对象的自动化控制中心，可以理解为资源对象的”大总管” kube-scheduler: 服务负责资源调度(pod调度)的进程，相当于公交公司的”调度室”。 安装Kube-apiserver相关参数介绍 • —logtostderr：启用日志 • —-v：日志等级 • —log-dir：日志目录 • —etcd-servers：etcd集群地址 • —bind-address：监听地址 • —secure-port：https安全端口 • ...

二进制安装Kubernete（k8s） v1.24.0环境准备 主机名 角色 IP 安装软件 k8s-master.boysec.cn 代理节点 10.1.1.100 etcd、kueblet、kube-porxy、kube-apiserver、kube-controller-manager、kube-scheduler、Containerd k8s-node01.boysec.cn 运算节点 10.1.1.120 etcd、kueblet、kube-porxy、Containerd k8s-node02.boysec.cn 运算节点 10.1.1.130 etcd、kueblet、kube-porxy、Containerd 3台vm，每台至少2g。 OS： CentOS 7.9 containerd：v1.6.4 kubernetes：v1.24 etcd：v3.3.22 flannel：v0.12.0 证书签发工具CFSSL: V1.6.0 本次使用单master节点部署，需要多master请移步至一步步编译安装Kubernetes之master计 ...

Kubernetes-v1.24介绍早在 2020 年 12 月，Kubernetes 就宣布弃用 Dockershim。在 Kubernetes 中，dockershim 是一个软件 shim，它允许您将Docker引擎用作 Kubernetes 中的容器运行时。在即将发布的 v1.24 版本中，我们将移除 Dockershim，弃用和移除之间的间隔，符合项目在弃用后至少一年支持功能的政策。如果您是集群操作员，则本指南包含您在此版本中需要了解的实际情况。此外，您需要做些什么来确保您的集群不会倒塌！ 有什么影响吗？如果您正在滚动自己的集群或不确定此删除是否会影响您，请保持安全并检查您是否对 Docker Engine 有任何依赖关系。 注意：使用 Docker Desktop 构建的应用程序容器，不是集群的 Docker 依赖项。由 Docker 创建的容器镜像符合开放容器倡议 (OCI)，这是一种 Linux 基金会治理结构，围绕容器格式和运行时定义行业标准。它们可以在 Kubernetes 支持的任何容器运行时上正常工作。 如果您使用来自云提供商的托管 Kubernetes 服务， ...

Traefik 概述Traefik 是一个开源的可以使服务发布变得轻松有趣的边缘路由器。它负责接收你系统的请求，然后使用合适的组件来对这些请求进行处理。除了众多的功能之外，Traefik 的与众不同之处还在于它会自动发现适合你服务的配置。当 Traefik 在检查你的服务时，会找到服务的相关信息并找到合适的服务来满足对应的请求。Traefik 兼容所有主流的集群技术，比如 Kubernetes，Docker，Docker Swarm，AWS，Mesos，Marathon，等等；并且可以同时处理多种方式。（甚至可以用于在裸机上运行的比较旧的软件。）有了Traefik，就不需要维护和同步一个单独的配置文件：一切都会自动、实时地发生（没有重新启动，没有连接中断）。使用Traefik，您可以花时间在系统中开发和部署新特性，而不是配置和维护其工作状态。 核心概念Edge RouterTraefik 是一个边缘路由器，是你整个平台的大门，拦截并路由每个传入的请求：它知道所有的逻辑和规则，这些规则确定哪些服务处理哪些请求；传统的反向代理需要一个配置文件，其中包含路由到你服务的所有可能路由，而 Tr ...

MongoDB简介什么是MongoDBMongoDB是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。它支持的数据结构非常松散，是类似json的bson格式，因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大，其语法有点类似于面向对象的查询语言，几乎可以实现类似关系数据库单表查询的绝大部分功能，而且还支持对数据建立索引，如果用一句话来概括的话：MongoDB是一个高可用、分布式、灵活模式的文档数据库，用于大容量数据存储。 关系型与非关系型 NoSQL not only sqlNoSQL，指的是非关系型的数据库。NoSQL有时也称作Not Only SQL的缩写是对不同于传统的关系型数据库的数据库管理系统的统称。对NoSQL最普遍的解释是”非关联型的”，强调Key-Value Stores和文档数据库的优点，而不是单纯的RDBMS。NoSQL用于超大规模数据的存储。这些类型的数据存储不需要固定的模式，无需多余操作就可以横向扩展。今天我们可以通过第三方平台可以很容易的访问和抓取数据。用户的个人信息，社交网络，地理位置 ...

Dashboard概述Dashboard是OpenStack中提供的一个web前端控制台，以此来展示openstack的功能。Dashboard是一个基于Django Web Framework开发的标准的Python WSGI程序。Dashboard将页面上的所有元素模块化，网页中一些常见元素（如表单，表格，标签页）全部被封装成Python类，每个组件都有自己对应的一小块HTML模板，当渲染整个页面的时候，Dashboard先查找当前页面有多少组件，然后将各个组件分别进行渲染变成一段HTML片段，最后拼装成一个完整的HTML页面，返回给浏览器。 Dashboard安装安装服务1yum install openstack-dashboard -y 服务配置 编辑修改/etc/openstack-dashboard/local_settings 123456789101112131415161718192021222324252627282930313233343536373839404142[root@node01 ~]# vim /etc/openstack-dashboard/l ...

Neutron介绍Neutron概要OpenStack网络服务提供了一个API接口，允许用户在云上设置和定义网络连接和地址。这个网络服务的项目代码名称是Neutron。OpenStack网络处理虚拟设备的创建和管理网络基础设施，包括网络、交换机、子网以及由计算服务（nova）管理的设备路由器。高级服务，如防火墙或虚拟私人网络（VPN）也可以使用。 OpenStack网络由neutron-server，持久化存储数据库，和任意数量的插件代理组成，这些代理提供其他服务，如与本地linux联网接口机制、外部设备或SDN控制器。 OpenStack网络是完全独立的，可以部署到一个专用主机。如果你的部署使用了一个控制器主机运行集中计算组件，你可以部署网络服务来取代主机的设定。 OpenStack网络集成了各种组件： 身份认证（Keystone）用于身份验证以及api请求的授权。 计算服务（Nova）用于把一个特定网络插入每个虚拟机中。 仪表盘（Horizon）由管理员和租户通过一个基于WEB的图形界面创建和管理网络。 neutron组件详解 neutron-server可以理解为类似于nov ...

nova介绍　　Nova 是 OpenStack 最核心的服务，负责维护和管理云环境的计算资源。OpenStack 作为 IaaS 的云操作系统，虚拟机生命周期管理也就是通过 Nova 来实现的。 用途与功能 : 实例生命周期管理 管理计算资源 网络和认证管理 REST 风格的 API 异步的一致性通信 Hypervisor 透明:支持Xen,XenServer/XCP,KVM, UML,VMware vSphere and Hyper-V 体系结构 组件介绍nova-apinova-api：实现了RESTful API功能，是外部访问Nova的唯一途径。接收外部的请求并通过Message Queue将请求发送给其他的服务组件，同时也兼容EC2 API，所以也可以用EC2的管理工具对nova进行日常管理。 nova-schedulernova-scheduler：决策虚拟机创建在哪个主机（计算节点）上。决策一个虚拟机应该调度到某物理节点，需要分为两个步骤： 过滤（filter）：过滤出可以创建虚拟机的主机。 计算权值（weight）：根据权重大小进行分配，默认根据资源可用空 ...