红队云攻防实战
1. 云原生安全-K8s安全-Kubelet漏洞利用
1.1 K8s安全-横向移动-污点Taint-概念
污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,是k8s集群默认给master节点加的Taints(污点)这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system
污点(Taints):定义在节点上,用于拒绝Pod调度到此节点,除非该Pod具有该节点上的污点容忍度。被标记有Taints的节点并不是故障节点。
容忍度(Tolerations):定义在Pod上,用于配置Pod可容忍的节点污点,K8S调度器只能将Pod调度到该Pod能够容忍的污点的节点上
污点一般有三种值:
-
NoSchedule:不被调度。
-
PreferNoSchedule:尽量不被调度。
-
NoExecute:是不会调度并且还会驱逐node已有的pod。
https://cn