641a9888a3f6cff1e10aca8c66628cf6f3a847bbe9838256c52fc18c1fec1d07bf71ad53ce33a604a5f702976a823e5079c8c13b378efa386b3e30832ceebad4c53d26a9687d743e3f7eddcc16f734ad243b250ff3370e74d159028999ecdc7b82dd49193f254ba2f23b838c11ca1781c4e11764f27b0c0d9b67e22b4945ef08224bceadcaf09af4bdd8e18a17e35ac2515f6be9c2a832eb3ad53cebf3d4a52b7a70d82f614bf47509626442e45dd4b92b78efd77b820799898228ce7a202587cb79e0ae198acef7f2c8bca547f6a2724c937a6194c6813a7dee984a7090c6b1ab28d8bb1db2993ab48b568850f1aaa0d3461ca6650503d2e ...

641a9888a3f6cff1e10aca8c66628cf6f3a847bbe9838256c52fc18c1fec1d075856b39590b13bff7a3fbdf865d61cd38d0e04fe19728a850a7e5f0821f8f6b6327a45214d359bc7645c8702b3adedcf4e71363f0a3d89a9e3ac677bebd4190ce8f26a20d05b27733ef4f0a5a52775f1c433135f82fbebab84f9b90a1fdc09453d8669554f1d824966f00bff96519a44494001ebfcb5dedadf6f90dbd75f541c282354a012dac4c62e85419c2dd3184b1d5333536f60808227edbdfe65f5391b2b55cb7af044f37152794efee9f47072f2277559f28cc259882623b046c2285df692718172e42d474daf500e9ff04893fa007c0aa5fb5ffc5 ...

前言 Kubernetes简称k8s，是当前主流的容器调度平台，被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境，在目前全面上云的趋势，有必要学习在k8s环境的下的一些攻击手法，本文非常适合刚入门或者准备学习云安全方向的安全人员，每个步骤都是亲手复现整理。文中如有错误的地方，还望各位大佬在评论区指正。 Kubernetes用户管理Kubernetes 集群中包含两类用户：一类是由 Kubernetes管理的service account,另一类是普通用户。 service account 是由 Kubernetes API管理的账户。它们都绑定到了特定的 namespace,并由 API server 自动创建，或者通过 API 调用手动创建。Service account 关联了一套凭证，存储在 Secret，这些凭证同时被挂载到 pod 中，从而允许 pod 与 kubernetes API 之间的调用。 Use Account（用户账号）：一般是指由独立于Kubernetes之外的其他服务管理的用 户账号，例如由管理员分发的密钥、Ke ...

K8S Node简介 k8s的node节点需要安装三个组件：containerd/kubelet/kube-proxy pod是存储容器的容器，但容器不止docker一种。 CRI：container runtime interface kubelet：用于操作containerd容器，维持pod的生命周期 。 kube proxy：负载均衡就是通过kube proxy组件完成的。并且，pod与pod之间的通信，各pod间的负载均衡都是通过它来实现的。默认是通过操作防火墙firewall来实现pod的映射。 kubelet安装部署创建工作目录123456mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs} tar xf kubernetes-v1.24.0.tar.gz cd /server/tools/kubernetes/server/bincp kubelet /opt/kubernetes/bin## 复制证书到所有节点scp 10.1.1.11:/opt/certs/ca.pem /opt/kube ...

Kubernetes MasterKubernetes Master节点部署三个服务：kube-apiserver、kube-controller-manager、kube-scheduler和一个命令工具kubectl. Master节点来负责整个集群的管理和控制，其中 kube-apiserver: 服务提供了HTTP Rest接口的关键服务进程，是Kuberneters里所有资源的增删改查等操作的唯一入口，也是集群控制的入口进程. kube-controller-manager: 服务 是kubernetes里面所有资源对象的自动化控制中心，可以理解为资源对象的”大总管” kube-scheduler: 服务负责资源调度(pod调度)的进程，相当于公交公司的”调度室”。 安装Kube-apiserver相关参数介绍 • –logtostderr：启用日志 • —v：日志等级 • –log-dir：日志目录 • –etcd-servers：etcd集群地址 • –bind-address：监听地址 • –secure-port：https安全端口 • – ...

二进制安装Kubernete（k8s） v1.24.0环境准备 主机名 角色 IP 安装软件 k8s-master.boysec.cn 代理节点 10.1.1.100 etcd、kueblet、kube-porxy、kube-apiserver、kube-controller-manager、kube-scheduler、Containerd k8s-node01.boysec.cn 运算节点 10.1.1.120 etcd、kueblet、kube-porxy、Containerd k8s-node02.boysec.cn 运算节点 10.1.1.130 etcd、kueblet、kube-porxy、Containerd 3台vm，每台至少2g。 OS： CentOS 7.9 containerd：v1.6.4 kubernetes：v1.24 etcd：v3.3.22 flannel：v0.12.0 证书签发工具CFSSL: V1.6.0 本次使用单master节点部署，需要多master请移步至一步步编译安装Kubernetes之master计算节点安 ...

Kubernetes-v1.24介绍早在 2020 年 12 月，Kubernetes 就宣布弃用 Dockershim。在 Kubernetes 中，dockershim 是一个软件 shim，它允许您将Docker引擎用作 Kubernetes 中的容器运行时。在即将发布的 v1.24 版本中，我们将移除 Dockershim，弃用和移除之间的间隔，符合项目在弃用后至少一年支持功能的政策。如果您是集群操作员，则本指南包含您在此版本中需要了解的实际情况。此外，您需要做些什么来确保您的集群不会倒塌！ 有什么影响吗？如果您正在滚动自己的集群或不确定此删除是否会影响您，请保持安全并检查您是否对 Docker Engine 有任何依赖关系。 注意：使用 Docker Desktop 构建的应用程序容器，不是集群的 Docker 依赖项。由 Docker 创建的容器镜像符合开放容器倡议 (OCI)，这是一种 Linux 基金会治理结构，围绕容器格式和运行时定义行业标准。它们可以在 Kubernetes 支持的任何容器运行时上正常工作。 如果您使用来自云提供商的托管 Kubernetes 服务， ...

Traefik 概述Traefik 是一个为了让部署微服务更加便捷而诞生的现代HTTP反向代理、负载均衡工具。 它支持多种后台 (Docker, Swarm, Kubernetes, Marathon, Mesos, Consul, Etcd, Zookeeper, BoltDB, Rest API, file…) 来自动化、动态的应用它的配置文件设置。 它是一个边缘路由器，它会拦截外部的请求并根据逻辑规则选择不同的操作方式，这些规则决定着这些请求到底该如何处理。Traefik 提供自动发现能力，会实时检测服务，并自动更新路由规则。Traefik 的与众不同之处还在于它会自动发现适合你服务的配置。当 Traefik 在检查你的服务时，会找到服务的相关信息并找到合适的服务来满足对应的请求。Traefik 兼容所有主流的集群技术，比如 Kubernetes，Docker，Docker Swarm，AWS，Mesos，Marathon等等；并且可以同时处理多种方式。（甚至可以用于在裸机上运行的比较旧的软件。）有了Traefik，就不需要维护和同步一个单独的配置文件：一切都会自动、实时地发生（ ...

MongoDB简介什么是MongoDBMongoDB是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。它支持的数据结构非常松散，是类似json的bson格式，因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大，其语法有点类似于面向对象的查询语言，几乎可以实现类似关系数据库单表查询的绝大部分功能，而且还支持对数据建立索引，如果用一句话来概括的话：MongoDB是一个高可用、分布式、灵活模式的文档数据库，用于大容量数据存储。 关系型与非关系型 NoSQL not only sqlNoSQL，指的是非关系型的数据库。NoSQL有时也称作Not Only SQL的缩写是对不同于传统的关系型数据库的数据库管理系统的统称。对NoSQL最普遍的解释是”非关联型的”，强调Key-Value Stores和文档数据库的优点，而不是单纯的RDBMS。NoSQL用于超大规模数据的存储。这些类型的数据存储不需要固定的模式，无需多余操作就可以横向扩展。今天我们可以通过第三方平台可以很容易的访问和抓取数据。用户的个人信息，社交网络，地理位置 ...

Dashboard概述Dashboard是OpenStack中提供的一个web前端控制台，以此来展示openstack的功能。Dashboard是一个基于Django Web Framework开发的标准的Python WSGI程序。Dashboard将页面上的所有元素模块化，网页中一些常见元素（如表单，表格，标签页）全部被封装成Python类，每个组件都有自己对应的一小块HTML模板，当渲染整个页面的时候，Dashboard先查找当前页面有多少组件，然后将各个组件分别进行渲染变成一段HTML片段，最后拼装成一个完整的HTML页面，返回给浏览器。 Dashboard安装安装服务1yum install openstack-dashboard -y 服务配置 编辑修改/etc/openstack-dashboard/local_settings 123456789101112131415161718192021222324252627282930313233343536373839404142[root@node01 ~]# vim /etc/opens ...

Neutron介绍Neutron概要OpenStack网络服务提供了一个API接口，允许用户在云上设置和定义网络连接和地址。这个网络服务的项目代码名称是Neutron。OpenStack网络处理虚拟设备的创建和管理网络基础设施，包括网络、交换机、子网以及由计算服务（nova）管理的设备路由器。高级服务，如防火墙或虚拟私人网络（VPN）也可以使用。 OpenStack网络由neutron-server，持久化存储数据库，和任意数量的插件代理组成，这些代理提供其他服务，如与本地linux联网接口机制、外部设备或SDN控制器。 OpenStack网络是完全独立的，可以部署到一个专用主机。如果你的部署使用了一个控制器主机运行集中计算组件，你可以部署网络服务来取代主机的设定。 OpenStack网络集成了各种组件： 身份认证（Keystone）用于身份验证以及api请求的授权。 计算服务（Nova）用于把一个特定网络插入每个虚拟机中。 仪表盘（Horizon）由管理员和租户通过一个基于WEB的图形界面创建和管理网络。 neutron组件详解 neutron-server可以理解为类似于nov ...