Love&Share

下载完后还需要修改里面定义 Pod 网络（CALICO_IPV4POOL_CIDR），取消注释，value 与前面 kubeadm init 的 --pod-network-cidr 指定的一样。在上述操作完成后，各个工作节点已经加入了集群，但是它们的状态都是 NoReady，这是由于无它们无法跨主机通信的原因。注：由于网络插件还没有部署，还没有准备就绪 NotReady，继续操作。组件配置文件目录：/etc/kubernetes/manifests/安装目录：/etc/kubernetes/

在该YAML文件中，定义了需要创建的资源类型为 Deployment，在 metadata 中声明了该 Deployment的 名称以及标签。spec 中则定义了该 Deployment 的具体设置，通过 replicas 定义了该 Deployment 创建后将会自动创建 3 个 Pod 实例。运行的 Pod 以及进行则通过 template 进行定义。这里为了能够直接访问该 Service，需要将容器端口映射到主机上，因此定义该 Service 类型为 NodePort。

在 docker 容器中调用和执行宿主机的 docker，将 docker 宿主机的 docker 文件和 docker.sock 文件挂载到容器中，在新容器的目录下，就可以访问到宿主机的全部资源，接下来就是写入 SSH 密钥或者写入计划任务，获取 shell。具体的做法可以简单描述为：使用普通用户创建一个 privileged 为 true 的容器，在该容器内挂载宿主机硬盘并写入定时任务，然后将宿主机的 root 权限反弹回来，后期将详细介绍这种方法的使用。

是在数据中心产品下的一套软件。，例如监控，有专门的监控组件和可视化，基础服务例如服务器，CDN，负载均衡等基础服务可以外包到云服务厂商，日志也有专门的日志工具，链路追踪也有专门的组件和可视化，还有网关等，渐渐的，只要这些都配置好了，开发也可以做运维的部分工作，毕竟开发才是最了解代码的人，哪里出了问题看看监控日志，可以最快速度定位到问题，于是DEVOPS开发模式诞生了，开发也是运维。为了安装，管理和访问这些虚拟机，你需要另外的 vSphere 套件，也就是 vSphere client 或 vCenter。

在这个场景中，我们看到一个具有额外功能和权限(甚至包含HostPath)的Pod，它允许我们访问宿主机系统并提供节点级配置，这样会带来可以获取整个集群控制权限的危害。Kubernetes Goat 是一款针对 Kubernetes 安全的学习、测试和练习工具，该工具可以给广大研究人员提供一个存在安全缺陷（故意留下漏洞）的集群环境，来帮助广大安全爱好者学习和实践 Kubernetes 安全。服务进行通信，我们可以通过它创建新的容器，并把宿主机的目录挂载到新创建的容器中，这样我们就能访问宿主机的资源了。