Kubernetes 最小化微服务漏洞 gVisor与Containerd集成

最新推荐文章于 2024-05-30 07:38:07 发布
最新推荐文章于 2024-05-30 07:38:07 发布
阅读量531 收藏 1
点赞数
分类专栏: Kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/118735388
版权
已经测试过的应用和工具: https://gvisor.dev/docs/user_guide/compatibility/

这里可以看到现有的哪些应用可以使用gvisor,因为官方已经给你测试了。除此之外不能够百分之百去使用。除此之外还有哪些工具是可以使用的。

安全沙箱运行容器:gVisor与Containerd集成

 由docker切换到containerd容器引擎(安装conatinerd------>kubelet安装containerd----->最后验证)

在切换之前先将docker给停止了

[root@k8s-node1 ~]# systemctl stop docker
Warning: Stopping docker.service, but it can still be activated by:
  docker.socket
[root@k8s-node1 ~]# pkill docker
[root@k8s-node1 ~]# ps -ef | grep docker
root     129602 126435  0 03:13 pts/0    00:00:00 grep --color=auto docker
1、准备配置 
[root@k8s-node1 ~]# cat > /etc/sysctl.d/99-kubernetes-cri.conf << EOF
> net.bridge.bridge-nf-call-iptables = 1
> net.ipv4.ip_forward = 1
> net.bridge.bridge-nf-call-ip6tables = 1
> EOF


[root@k8s-node1 ~]# sysctl --system
* Applying /usr/lib/sysctl.d/00-system.conf ...
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
* Applying /usr/lib/sysctl.d/10-default-yama-scope.conf ...
* Applying /usr/lib/sysctl.d/50-default.conf ...
2、安装 
[root@k8s-node1 ~]# cd /etc/yum.repos.d
[root@k8s-node1 yum.repos.d]# yum install -y containerd.io

[root@k8s-node1 yum.repos.d]# wget http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
--2021-07-15 03:19:27--  http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
Resolving mirrors.aliyun.com (mirrors.aliyun.com)... 115.223.27.223, 115.238.192.241, 115.238.192.242, ...
Connecting to mirrors.aliyun.com (mirrors.aliyun.com)|115.223.27.223|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2081 (2.0K) [application/octet-stream]
Saving to: ?.ocker-ce.repo.1?

100%[===========================================================================================>] 2,081       --.-K/s   in 0s      

2021-07-15 03:19:28 (185 MB/s) - ?.ocker-ce.repo.1?.saved [2081/2081]

#生成配置文件
[root@k8s-node1 yum.repos.d]# cd /etc/containerd/
[root@k8s-node1 containerd]# ls
config.toml
[root@k8s-node1 containerd]# containerd config default > config.toml
3、修改配置文件
• pause镜像地址(负责pod网络的镜像,需要修改地址,要不然下载不了) 
sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.2"

• Cgroup驱动改为systemd

          [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
             SystemdCgroup = true
• 增加runsc容器运行时 
      [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runsc]
          runtime_type = "io.containerd.runsc.v1"
      [plugins."io.containerd.grpc.v1.cri".containerd.runtimes]
        [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
          runtime_type = "io.containerd.runc.v2"
          runtime_engine = ""
          runtime_root = ""
• 配置docker镜像加速器 
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
endpoint = ["https://b9pmyelo.mirror.aliyuncs.com"]
[root@k8s-node1 containerd]# systemctl restart containerd
[root@k8s-node1 containerd]# ps -ef | grep containerd
root       2887      1  1 03:41 ?        00:00:00 /usr/bin/containerd

 4、配置kubelet使用containerd

这个文件是kubelet为用户提供扩展参数的一个地方,在这里可以加入扩展参数,kubelet就可以去使用了。

=--container-runtime=remote  指定容器运行时为远程,默认支持的是docker,在后续版本对docker支持启用 
--container-runtime-endpoint=unix:///run/containerd/containerd.sock 
--cgroup-driver=systemd

docker有docker的管理命令,containerd有它自己的管理命令,

containerd也有 ctr 管理工具,但功能比较简单,一般使用crictl工具检查和调试容器。
项目地址:https://github.com/kubernetes-sigs/cri-tools/
准备crictl连接containerd配置文件: 
cat > /etc/crictl.yaml << EOF
runtime-endpoint: unix:///run/containerd/containerd.sock
EOF

下面是docker与crictl命令对照表:

RuntimeClass 是一个用于选择容器运行时配置的特性,容器运行时配置用于运行 Pod 中的容器。
创建RuntimeClass: 
apiVersion: node.k8s.io/v1 # RuntimeClass 定义于 node.k8s.io API 组
kind: RuntimeClass
metadata:
  name: gvisor # 用来引用 RuntimeClass 的名字
handler: runsc # 对应的 CRI 配置的名称


root@k8s-master:~# kubectl apply -f cks_runtimeclass.yaml 
runtimeclass.node.k8s.io/gvisor created
root@k8s-master:~# kubectl get runtimeclass
NAME     HANDLER   AGE
gvisor   runsc     14s

 

 现在已经完成了安全沙箱运行一个容器,在linux内核和容器之间做了隔离,但是这里有个问题,除了gvisor官网提供的哪些工具,可能有些工具是不能使用的。还有如果容器需要特权模式该怎么办呢?

gvisor是防止linux容器去直接调用内核的能力,特权模式是放开了对Linux内核的访问。所以gvisor是不允许特权模式的,使用了强隔离。如果有些容器使用了特权模式呢?

所以多容器运行时应用而生。RuntimeClass 是一个用于选择容器运行时配置的特性,容器运行时配置用于运行 Pod 中的容器。 通过runtimeclass可以配置不同容器引擎的容器运行时。让你pod在工作的时候,根据指定的容器运行时,让你的容器引擎选择去启动,来去满足不太同的需求。

如果有些容器需要使用特权模式可以使用runc,如果要使用沙箱机制那么就可以使用runsc。那么就可以指定rumtimeclass。所以可以根据你的需求使用不同的容器运行时。

所以企业使用的话是runc+runsc的组合。

富士康质检员张全蛋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么kubernetes天然适合微服务
02-25
有的公司有ToC的业务,因而累积了大量的用户数据,公司的运营需要通过这部分数据进行大数据分析和数字化运营,因而在这些企业里面往往还需要关注数据架构。从事互联网应用的企业,往往首先关注的是应用架构,是否...
Kubernetes微服务容器化
01-22
Kubernetes微服务容器化可以方便的部署成千上万个服务,统一管理监控
gVisor是什么?可以解决什么问题?
Docker的专栏
09-17 9044
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
gVisor与Containerd集成
qq_36270681的博客
01-15 489
gVisor内核要求:Linux 3.17+,如果用的是CentOS7则需要升级内核,Ubuntu不需要。 rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml
k8s安全测评漏洞:SSL-TLS协议信息泄露漏洞(CVE-2016-2183)
最新发布
dzqxwzoe的博客
05-30 1336
扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32。k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。增加后kube-apiserver漏洞即修复成功。attack,漏洞修复成功则没有该项提示。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。增加后etcd漏洞即修复成功。只需要修复最后一项即可。
【k8s系列】gvisor安装与containerd集成
weixin_42072280的博客
01-11 2268
【k8s系列】gvisor安装与containerd集成
二十九、K8s最小服务漏洞3-gVisor沙箱
tushanpeipei的博客
12-16 2741
使用containerd+gvisor在K8S环境中运行pod
CKS1.23 考试题整理(9)-沙箱运行容器gVisor
april_4的博客
04-18 1156
题目 该 cluster使用 containerd作为CRI运行时。containerd的默认运行时处理程序是runc。 containerd已准备好支持额外的运行时处理程序runsc (gVisor)。 使用名为runsc的现有运行时处理程序,创建一个名为untrusted 的RuntimeClass。 更新 namespace server中的所有Pod以在gVisor上运行。 您可以在 /cks/gVisor/rc.yaml中找到一个模版清单。 参考 容器运行时类(Runtime Cla
k8s学习-CKS真题-Runtime设置gVisor
关注网络安全、云原生安全
04-08 1767
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd
Kubernetes集群之微服务JVM内存监控
07-26
原文链接:https://blog.csdn.net/m0_37814112/article/details/119028528 说明:Kubernetes集群之微服务JVM内存监控,prometheus服务yaml文件
使用Rancher在Kubernetes上进行微服务部署
02-25
使用真实的容器化微服务最大的障碍在于,很多人不太清楚如何管理和协调容器大规模负载。今天我们将探讨如何基于微服务部署来构建Kubernetes。作为google长期经营的Borg项目的开源的继承者,Kubernetes有将近10年的...
Kubernetes微服务化游戏中的探索实践
02-25
而在近一两年,部分游戏的架构也逐渐往微服务化方向转变,以下是一款游戏的架构游戏的逻辑层按不同的服务划分为不同的模块,每个模块都是高内聚低耦合,之间的通信通过消息队列(或者API)来实现。模块的版本通过CI/...
【CKS】考试之环境准备gVisor与Containerd集成
sinat_33076015的博客
08-31 207
gVisor内核要求:Linux 3.17+,如果用的是CentOS7则需要升级内核,Ubuntu不需要。由于我的集群版本是v1.20了,改为了containerd,所以需要修改一下配置。RuntimeClass 是一个用于选择容器运行时配置的特性,容器运行时配置用。添加以下内容到配置中,与runc对齐。1、准备gVisor二进制文件。2、安装到containerd。4、创建Pod测试gVisor。3、重启containerd。于运行 Pod 中的容器。
【K8S认证】2023年CKS考题-沙箱运行容器gVisor(解析+答案)
u014481728的博客
10-26 1572
【K8S认证】2023年CKS考题-沙箱运行容器gVisor(解析+答案)
kubernetes--安全沙箱运行容器gVisor
m0_57911290的博客
03-02 3789
所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器和内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。gVisor兼容OCI,与Docker和K8s无缝集成,很方便使用。
gVisor:Google开源的新型沙箱容器运行时环境
liukuan73的专栏
08-28 1065
转载自:http://dockone.io/article/5280 容器技术彻底改变了我们对应用程序进行开发、打包与部署的具体方式。然而,系统在与容器对接时仍会暴露出大量攻击面,因此相当一部分安全专家不建议在容器当中运行不受信任或潜在的恶意应用程序。 随着用户越来越多地希望在容器当中运行异构及低信任度工作负载,沙箱化容器也就应运而生——此类容器能够在主机操作系统与容器内应用程序之间提供安全的隔...
【CKS】 考试之容器运行时类(Runtime Class)
sinat_33076015的博客
09-04 348
官网搜索:runtime class 找到:容器运行时类(Runtime Class)需要修改的 Pod 并非直接创建,而是通过 Deployment 创建,所以在指。定的 runtimeClass 的时候,更改的位置和 Pod 不太一样。
k8s对外攻击面总结
ATpiu的博客
12-19 9245
k8s对外攻击面总结/k8s漏洞
K8S漏洞修复
weixin_50712581的博客
06-12 1178
客户环境存在K8S的漏洞 分别是:Kubernetes kube-apiserver 输入验证错误漏洞(CVE-2021-25735) Kubernetes kube-apiserver信息泄露漏洞(CVE-2021-25737) 这两个漏洞官方给的建议就是升级到他们修复的版本。 以及因为api-server组件引起的openssl漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值