istio过滤sidecar的流量劫持

最新推荐文章于 2024-08-09 10:01:36 发布
最新推荐文章于 2024-08-09 10:01:36 发布
阅读量252 收藏
点赞数
分类专栏: istio 文章标签: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32783703/article/details/120888765
版权

首先查看yaml文件中iptables被过滤掉的用户uid

initContainers:
      - args:
        - istio-iptables
        - -p
        - "15001"
        - -z
        - "15006"
        - -u
        - "1337"
        - -m
        - REDIRECT
        - -i
        - '*'
        - -x
        - ""
        - -b
        - '*'
        - -d
        - 15090,15021,15020

看到-u参数 1337,说明用户流量1337 的用户会被过滤掉,然后重写 Dockerfile,加入用户指定为1337 的uid,并且可以运行sudo 指令

RUN apt-get install -qq -y --ignore-missing sudo //安装sudo
 
//创建用户
RUN groupadd --gid 1337 otlp-agent \
  && useradd --home-dir /home/otlp-agent --create-home --uid 1337 --gid 1337 --shell /bin/sh --skel /dev/null otlp-agent
 
//配置sudo的配置文件,让非root用户可以sudo
RUN echo "otlp-agent ALL=NOPASSWD: ALL" >> /etc/sudoers
 
//指定当前用户
USER otlp-agent

配置容器yaml文件的container的安全策略

- image: zhangleihunter/otlp-agent:v3
    imagePullPolicy: Always
    name: otlp-agent
    securityContext:
      allowPrivilegeEscalation: true
      privileged: true
      readOnlyRootFilesystem: false
      runAsGroup: 1337
      runAsNonRoot: true
      runAsUser: 1337
    ports:
    - containerPort: 9411
      name: tcp
      protocol: TCP
    resources:
      limits:
        cpu: "1"
        memory: 1Gi
      requests:
        cpu: 30m
        memory: 40Mi

重点为 securityContext 数组,配置完成后就可以过滤掉sidecar的流量劫持

序冢--磊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
istio sidecar流量接管_istio浅析
weixin_39655362的博客
12-16 233
注:本文是对istio功能和实现进行简要介绍,主要是参考了istio和envoy的官网,《Istio学习指南》等书籍,云原生社区和网易云等文章,在文末参考文献列出,特此感谢。 istio简介istio是一个开源服务网格平台,它可以控制微服务之间数据的共享方式,其附带的 API 可以将 Istio 集成到任何日志记录平台、遥测或策略系统中。在设计上,Istio 可以在多种环境中运行:企业本...
Istio 流量劫持
叶康铭的博客
09-21 1727
不用修改本身应用的任何代码,就可以实现重试、重试、注册、发现、故障注入等等的能力,而且对开发语言、框架都是没有任何限定统一的技术栈的,那么为什么服务网格那么厉害可以做到那么透明呢,我们一起了解一下吧!
Istio使用【sidecar注入】
Happywzy~的博客
12-25 2925
本文使用的版本号:1.4.2 查看默认sidecar配置 kubectl get mutatingwebhookconfiguration istio-sidecar-injector -o yaml | grep "namespaceSelector:" -A5 namespaceSelector: matchLabels: istio-injection: ...
Istio流量劫持机制
心梦无痕
09-25 2123
Istio Service Mesh 中的流量劫持机制
基于Istio的高级流量管理二(Envoy流量劫持Istio架构、高级流量管理)
一点一滴铺就人生
02-26 2117
Istio对入站流量、Mesh流量、出站流量的统一控制管理给出了一个比较完美的答案
Istio二之流量劫持过程
qiaotl的博客
07-24 1245
通过实际例子演示Istio是如何完成流量劫持
Kubernetes生产实践系列之二十四:Service Mesh之Istio proxy的流量劫持详细分析
cloudvtech的博客
08-22 1333
一、前言 转载自https://blog.csdn.net/cloudvtech
proxy-istio-demo:主要描述 istio中sidecar的工作流程方便如何理解istio
04-08
该项目主要是模拟 从应用程序容器到Sidecar代理的流量 基本的实现原理 测试 $ curl localhost:8080 -vv -w "\n timeout ---> %{time_total} \n" * Trying ::1... * TCP_NODELAY set * Connected to localhost (::...
dev-sidecar.exe
09-04
可以在github 免费下载源码 非常好用 亲测有效
htmp-sidecar_sidecar_
09-29
【标题】"htmp-sidecar_sidecar_" 指向的是一种特定的微服务架构模式,其中"sidecar"是核心概念。在微服务架构中,sidecar模式是一种设计模式,它将附加服务(如日志、监控、安全代理等)以独立进程的形式部署在每个...
Istio自动注入sidecar不成功解决方案.docx
10-26
Istio自动注入sidecar不成功解决方案 Istio 是一个基于Service Mesh架构的微服务管理平台,它提供了自动注入sidecar的功能,以便在Kubernetes集群中快速部署和管理微服务。然而,在实际应用中,Istio自动注入side...
k8s-mongo-sidecar:适用于MongoDB的Kubernetes Sidecar
04-28
Mongo Kubernetes副本集Sidecar 该项目是一个PoC,用于使用Kubernetes设置MongoDB副本集。 它应该处理任何类型的大小调整,并能适应MongoDB和Kubernetes都可以进入的各种条件。 它是的一个分支,具有(许多)更改...
Istio怎么劫持流量
Cui_Cui_666的博客
04-05 569
Istio怎么劫持流量 当我们使用istio的时候,有时候会思考Istio到底是怎么劫持了k8s集群的流量呢? 首先我们要明白k8s本身的流量是怎么流转的。举个例子,服务A通过服务B部署时注册的Service名称来填写调用地址,这个地址被翻译成一个域名,通过k8s中的私有DNS系统翻译成一个虚拟的ClusterIP,再通过部署在每一个节点上的Kube-proxy服务负载给Service对应的Po...
Istio Sidecar流量拦截机制-Day02
qq_42515722的博客
11-17 432
本章着重介绍了接入istio所必备的条件,以及sidecar流量拦截的过程。
在一次技术调研中理解istio流量拦截原理
binquanlao2913的博客
03-02 1057
当我们调用kube-apiserver为创建pod时,会调用webhook,webhook会检查pod的标签(istio-injection=enabled),如果匹配则注入istio-proxy容器。在部署好istio后,只需要对namespace加一个标签istio-injection=enabled,即可将此namespace下的pod纳入istio服务网关,对istio而言,istio-proxy组件就是sidecar,跟业务容器伴生,非侵入式地将业务容器纳入服务网格中。可以通过如下命令查看。
envoy中的iptable流量劫持
zhghost的专栏
07-09 1355
本篇是自己的一篇学习笔记,主要是为了学明白,iptable是如何在envoy里面进行流量劫持的,会从下面几个方面来介绍:iptable是怎么与envoy关联起来的业务app中的流量请求是如...
Istio进阶
Hello World
01-19 846
Istio进阶1. Sidecar流量接管原理 1. Sidecar流量接管原理 Sidecar 的部署⽀持⾃动注⼊与⼿动配置两种⽅式,若想使⽤⾃动注⼊的⽅式,⽬前则是需要Kubernetes 配合的,只需要将应⽤对应的 Namespace 设置⼀个 label 即可。例如 Namespace 如果是default,则可以标记如下: kubectl label namespace default istio-injection=enabled 如果选择⼿动注⼊,需要这样操作: kubectl apply
云原生: istio+dapr构建多运行时服务网格
a1058926697的博客
05-07 854
1、生命周期:包括部署,健康检查,水平扩展,配置管理等,目前这些需求的最佳实践,都陆续在 kubernetes 上有了落地。2、网络:网络方面的需求 是 service Mesh 的主战场,比如 istio 可以满足这里绝大部分需求,除了 pub/sub。3、状态:包括数据的读写,状态其实是非常难以管理的,涉及幂等,缓存,数据流等等。4、绑定:主要是指和系统外部资源的交互。
如何看待云原生数据库一体化的技术趋势?
最新发布
csdn565973850的博客
08-09 755
如何看待云原生数据库一体化的技术趋势?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值