Kubernetes——Pod安全

已于 2023-02-01 11:15:26 修改
阅读量140 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 安全 docker
于 2023-01-31 15:56:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358740/article/details/128818776
版权

文章目录

Pod安全

特权容器

  • 容器是通过名称空间技术隔离的,有时候我们执行一些应用服务,需要使用或修改敏感的系统信息,这时容器需要突破隔离限制,获取更高的权限,这类容器统称特权容器
  • 运行特权容器会有一些安全风险,这种模式下运行容器对宿主机拥有root访问权限,可以突破隔离直接控制宿主机的资源配置

更改容器主机名 和 /etc/hosts 文件

[root@master ~]# vim root.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: root
spec:
  terminationGracePeriodSeconds: 0
  restartPolicy: Always
  hostname: myhost         # 特权,修改主机名
  hostAliases:             # 修改 /etc/hosts
  - ip: 192.168.1.30       # IP 地址
    hostnames:             # 名称键值对
    - registry             # 主机名
  containers:
  - name: linux
    image: myos:v2009
    imagePullPolicy: IfNotPresent
    command: ["/bin/bash"]
    args:
    - -c
    - |
      while true;do
            echo "Hello World."
            sleep 5
      done

[root@master ~]# kubectl apply -f root.yaml 
pod/root created
[root@master ~]# kubectl exec -it root -- /bin/bash
[root@myhost html]# hostname
myhost
[root@myhost html]# cat /etc/hosts
... ...
# Entries added by HostAliases.
192.168.1.30	registry

[root@master ~]# kubectl delete pod root 
pod "root" deleted

root特权容器

[root@master ~]# vim root.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: root
spec:
  terminationGracePeriodSeconds: 0
  restartPolicy: Always
  hostPID: true            # 特权,共享系统进程
  hostNetwork: true        # 特权,共享主机网络
  containers:
  - name: linux
    image: myos:v2009
    imagePullPolicy: IfNotPresent
    securityContext:       # 安全上下文值
      privileged: true     # root特权容器
    command: ["/bin/bash"]
    args:
    - -c
    - |
      while true;do
            echo "Hello World."
            sleep 5
      done

[root@master ~]# kubectl get pods
NAME   READY   STATUS    RESTARTS   AGE
root   1/1     Running   0          26s
[root@master ~]# kubectl exec -it root -- /bin/bash
[root@node-0001 /]# 

# 系统进程特权
[root@node-0001 /]# pstree -p
systemd(1)-+-NetworkManager(510)-+-dhclient(548)
           |                     |-{NetworkManager}(522)
           |                     `-{NetworkManager}(524)
           |-agetty(851)
           |-chronyd(502)
           |-containerd(531)-+-{containerd}(555)
           ... ...

# 网络特权
[root@node-0001 /]# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.51  netmask 255.255.255.0  broadcast 192.168.1.255
        ether fa:16:3e:70:c8:fa  txqueuelen 1000  (Ethernet)
        ... ...

# root用户特权
[root@node-0001 /]# mkdir /sysroot
[root@node-0001 /]# mount /dev/vda1 /sysroot
[root@node-0001 /]# mount -t proc /proc /sysroot/proc
[root@node-0001 /]# chroot /sysroot
sh-4.2# : 此处已经是 node 节点上的 root 用户了

# 删除特权容器
[root@master ~]# kubectl delete pod root 
pod "root" deleted

Pod安全策略

  • Pod安全策略是集群级别的资源,它能够控制Pod运行的行为,以及它具有访问什么的能力

  • kuberbetes服务器版本必须不低于版本 v1.22

  • 确保PodSecurity特性门控制被启用

  • Pod安全策略:

    • privileged:不受限制的策略,提供最大可能范围的权限许可。此策略允许特权提升
    • baseline:弱限制性的策略,禁止已知的策略提升权限。允许使用默认的Pod配置
    • restricted:非常严格的限制性策略,遵循当前的保护Pod的最佳实践

  • Pod准入控制标签(MODE)

    • 可以在名称空间上设置标签来定义安全标准。选择的标签定义了检测到潜在违例时,所要采取的动作
    • enforce:策略违例会导致Pod被拒绝
    • audit:策略违例会触发审计日志,但是Pod仍可被接受
    • warn:策略违例会触发用户可见的警告信息,但是Pod仍是被接受的

    pod-security.kubernetes.io/<MODE>:<LEVEL>

[root@master ~]# sed '36i\    - --feature-gates=PodSecurity=true' -i /etc/kubernetes/manifests/kube-apiserver.yaml
[root@master ~]# systemctl restart kubelet

# 生产环境设置严格的准入控制
[root@master ~]# kubectl create namespace myprod
namespace/myprod created
[root@master ~]# kubectl label namespaces myprod pod-security.kubernetes.io/enforce=restricted
namespace/myprod labeled

# 测试环境测试警告提示
[root@master ~]# kubectl create namespace mytest
namespace/mytest created
[root@master ~]# kubectl label namespaces mytest pod-security.kubernetes.io/warn=baseline
namespace/mytest labeled

# 创建特权容器
[root@master ~]# kubectl -n myprod apply -f root.yaml 
Error from server (Failure): error when creating "root.yaml": host namespaces (hostNetwork=true, hostPID=true), privileged (container "linux" must not set securityContext.privileged=true), allowPrivilegeEscalation != false (container "linux" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "linux" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "linux" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "linux" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
[root@master ~]# 
[root@master ~]# kubectl -n myprod get pods
No resources found in myprod namespace.

[root@master ~]# kubectl -n mytest apply -f root.yaml                                    
Warning: would violate "latest" version of "baseline" PodSecurity profile: host namespaces (hostNetwork=true, hostPID=true), privileged (container "linux" must not set securityContext.privileged=true)
pod/root created
[root@master ~]# 
[root@master ~]# kubectl -n mytest get pods               
NAME   READY   STATUS    RESTARTS   AGE
root   1/1     Running   0          7s
[root@master ~]#

符合安全规则的Pod

[root@master ~]# vim nonroot.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: nonroot
spec:
  terminationGracePeriodSeconds: 0
  restartPolicy: Always
  containers:
  - name: linux
    image: myos:v2009
    imagePullPolicy: IfNotPresent
    securityContext:
      allowPrivilegeEscalation: false
      runAsNonRoot: true
      runAsUser: 99
      seccompProfile:
        type: "RuntimeDefault"
      capabilities:
        drop: ["ALL"]
    command: ["/bin/bash"]
    args:
    - -c
    - |
      while true;do
            echo "Hello World."
            sleep 30
      done

[root@master ~]# kubectl -n myprod apply -f nonroot.yaml 
pod/nonroot created
[root@master ~]# kubectl -n myprod get pods
NAME      READY   STATUS    RESTARTS   AGE
nonroot   1/1     Running   0          6s
[root@master ~]# kubectl -n myprod exec -it nonroot -- id
uid=99(nobody) gid=99(nobody) groups=99(nobody)
窒息う
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes——Pod控制器详解
wzpny的博客
05-16 709
Podkubernetes的最小管理单元,在kubernetes中,按照pod的创建方式可以将其分为两类:自主式podkubernetes直接创建出来的Pod,这种pod删除后就没有了,也不会重建控制器创建的podkubernetes通过控制器创建的pod,这种pod删除了之后还会自动重建什么是Pod控制器?Pod控制器是管理pod的中间层,使用Pod控制器之后,只需要告诉Pod控制器,想要多少个什 么样的Pod
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes集群中,安全是至关重要的,因为它保护了应用程序和服务免受未经授权的访问和潜在攻击。本教程将深入探讨Kubernetes集群的安全性,特别是关注授权机制,这是确保只有授权的实体才能执行特定操作的关键...
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1415
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicy 自 Kubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
Kubernetes——Pod详解
一坨小橙子的博客
05-23 1020
KubernetesPod详解、Pod基础概念、Pause容器、Pod分类(自主式静态、控制器管理的Pod)、Pod分类(基础容器、初始化容器(Init)、应用容器(Main容器))、镜像拉取策略(IfNotPresent、Always、Never)、镜像重启策略(Always、OnFailure、Nerver)
Kubernetes——Pod控制器
一坨小橙子的博客
06-01 1235
Pod控制器详解(Pod与控制器关系、Pod控制器的定义、Pod控制器六大类型(ReplicaSet、Deployment、StateSet、Job、CronJob))、Kubernetes服务发现、Kubernetes中DNS服务、Pod与控制器的关系(Deployment、StateSet、DaemonSet、Job、CronJob)
Kubernetes——安全机制
一坨小橙子的博客
06-05 870
Kubernetes安全机制(认证、鉴权、准入控制)
k8s(kubernetes)相关重要知识点运维笔记——详细文档
06-21
k8s(kubernetes)相关重要知识点运维笔记——详细文档 本文档旨在总结 k8s(kubernetes)相关重要知识点,涵盖 ConfigMap 的概念、数据类型、应用场景、使用方式等。 ConfigMap 是 k8s 中的一种配置管理工具,...
【k8s】——Kubernetes知识盘点
01-20
Kubernetes知识盘点】 ...以上内容概述了Kubernetes的核心概念、服务管理、存储、配置、升级和安全性等方面的知识点,为理解和使用Kubernetes提供了基础。在实际操作中,还需要结合具体场景深入学习和实践。
kubernetes-client:Scala的Kubernetes客户端
02-05
本篇将详细探讨针对Scala编程语言的Kubernetes客户端——`kubernetes-client`。 `kubernetes-client` 是一个强大的工具,它提供了丰富的API接口,使得开发人员可以轻松地在Scala程序中创建、更新、删除Pods、...
3深入浅出kubernetes.zip
05-19
《深入浅出Kubernetes》这本书全面且深入地探讨了当今最流行的容器编排系统——Kubernetes(也称为K8s)。Kubernetes是一个开源平台,旨在自动化容器化应用程序的部署、扩展和管理,使得大规模分布式应用的运行变得...
k8s快速部署一个网站
Sunny_Future的博客
07-14 295
【代码】k8s快速部署一个网站。
sealos快速安装k8s
qBeautifulBoy的博客
07-15 1078
Sealos 提供一套强大的工具,使得用户可以便利地管理整个集群的生命周期。功能介绍使用 Sealos,您可以安装一个不包含任何组件的裸 Kubernetes 集群。此外,Sealos 还可以在 Kubernetes 之上,通过集群镜像能力组装各种上层分布式应用,如数据库、消息队列等。Sealos 不仅可以安装一个单节点的 Kubernetes 开发环境,还能构建数千节点的生产高可用集群。
k8s入门:从安装到实际应用
最新发布
linux
07-16 963
本文介绍了如何在本地安装 Kubernetes 并部署一个简单的 Nginx 应用。Kubernetes 是一个功能强大的平台,提供了丰富的功能来管理和扩展容器化应用程序。通过掌握本文介绍的基本概念和操作,你可以开始探索 Kubernetes 的更多高级功能,以满足实际应用的需求。
k8s(四)---node
m0_45283400的博客
07-13 231
node就是节点。
新版k8s拉取镜像失败问题
m0_72363694的博客
07-12 471
新版版从k8s1.23后放弃使用docker容器作为的默认运行时了,而是采用的containerd,使用时不在使用docker拉取镜像,这就带来了一系列的问题。解决镜像拉取问题(原因外网屏蔽拉取不到使用国内加速器)contained的配置文件在/etc/containerd/config.toml解决devops安装失败问题。查看安装器配置文件(devops已经关闭)找到如上registry的配置部分,加上阿里云的镜像加速配置。重启containerd。
k8s集群新增节点
m0_48275578的博客
07-13 1151
2.1 的命令建议Master、node 01、node 02、node 03上同时执行。注意:2.2~2.7的命令仅在node 03上执行,2.1除外,在全部节点同时执行。5.1~5.2的命令,需要在Master、node 01、node 02上同时执行。2.2~2.7的命令,此次仅node 03上同时执行,2.1除外。注意:3.1~3.5的命令仅在node03上执行。3.1~3.5的命令,仅在node 03上执行。4.1~4.4的命令,仅在node03 上执行。仅在node 03节点上操作。
[k8s源码]2.CURD deployment
weixin_45396500的博客
07-14 728
在 Go 语言中,context.TODO() 是 context 包中的一个函数调用,它返回一个空的 Context 对象。Context 在 Go 中用于控制并发时的取消操作、超时控制、截止时间等,可以有效地管理并传递请求范围的值。context.TODO() 表示一个“空”的 Context,通常用作临时占位符或者当你尚未确定使用哪种具体的 Context 类型时的默认选择。retry.RetryOnConflict 函数是一个用于处理在更新资源时可能遇到的冲突的函数。通过指针可以实现这一点。
K8s集群初始化遇到的问题
l6xy6的博客
07-15 429
CoreDNS Pod 处于 Pending 状态的原因是集群中的节点都带有 node.kubernetes.io/not-ready 污点。查看calico.yaml中所需要的镜像,发现都是从docker hub中拉取的,目前由于政策原因,只能更换加速器。前面只更换了master节点中docker的操作,故节点还是无法拉取镜像,只需给节点添加相应镜像。镜像,但没有成功完成拉取。添加后,重启docker,在重新执行操作1,所有pod都是runnning。之后重新拉取calico镜像。
rancher单节点安装k8s
0478
07-15 658
优点:可用性易于操作的轻量级部署模型缺点:与上游Kubernetes不同。
获取kubernetespod资源的日志的脚本
03-14
你可以使用kubectl logs命令来获取KubernetesPod资源的日志。例如,要获取名为my-podPod的日志,可以运行以下命令: kubectl logs my-pod 如果要获取特定容器的日志,可以使用-c选项指定容器名称。例如,要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值