Node Metadata Protection--节点的元数据保护

最新推荐文章于 2023-10-12 16:16:37 发布
最新推荐文章于 2023-10-12 16:16:37 发布
阅读量2.3k 收藏 3
点赞数 4
分类专栏: CKS学习笔记 文章标签: kubernetes k8s docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saynaihe/article/details/114738343
版权

image.png

1. 关于元数据

kubernets集群不管是运行与公有云还是私有云,都是有些元数据的资源的各种各样的标签。比如镜像id,网络设备id,硬盘的唯一id等。

2. 举一个例子

2.1 cloud platform node metadata 云平台节点元数据

  1. 拿谷歌云和亚马逊云来说
  2. 默认的情况下可以从虚拟机vm(云主机)访问元数据服务的api
  3. 元数据中保护有vm节点(云主机)的各种凭据信息。如网络id,镜像id vpcid.硬盘等待各种相关信息。具体详细度要看云商平台或者私有云架构
  4. 可以包含诸如kubelet凭证之类的置备数据

image.png

2.2 access sensitive node metadta 访问敏感节点元数据的原则

2.2.1 最常说的权限控制原则

  1. Limitat permissions for instance credentials 权限最小化原则。
  2. 确保cloud-instance-account仅具有必要的权限
  3. 每个云提供商都应遵循一系列建议
  4. 权限控制不在kubernetes中

image.png

3. restrict access using networkpolicies 使用网络策略限制访问

image.png

3.1 限制访问云商的元数据

image.png
由于没有谷歌云拿腾讯云意淫下了,可能理解的不是很对。往指教:
翻了下腾讯云的文档关于元数据也有文档:https://cloud.tencent.com/document/product/213/4934?from=10680
image.png
就简单的证明一下,node节点和pod节点都可以访问云商的源数据。相对于谷歌云的文档,腾讯的还是略简单,想比着课程查询下硬盘,貌似还是没有这接口的。不过觉得下面这话说的很对,能访问实例就可以查看元数据。关于元数据的安全也很重要啊…
image.png

3.2通过networkpolicy 限制对元数据的访问

ping metadata.tencentyun.com得到medata的地址169.254.0.23,依然是命名空间级别的限制
image.png

kubectl apply -f deny.yaml
kubectl -n metadata  exec nginx -it bash
curl http://metadata.tencentyun.com/latest/meta-data/instance/image-id

OK,如下图获取不了元数据中的镜像id了
image.png
然后我如何运行一组pod去访问元数据呢?
image.png

kubectl apply -f allow.yaml

嗯 matchLabels我设置了一个不存在的,然后给pods加上labels

kubectl get pods --show-labels -n metadata
kubectl label pod nginx role=metadata-accessor -n metadata
kubectl get pods --show-labels -n metadata
kubectl -n metadata  exec nginx -it bash

image.png
OK,可以返回元数据了。now现在去掉role=metadata-accessor 的标签
image.png
验证通过,其实我觉这节课主要的还是再强调networkpolicy。不仅仅是元数据的保护。networkpolicy是很重要的基石。

对你无可奈何2008
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
建模杂谈系列97 数据(节点)元数据实践1-设计
yukai08008的博客
12-23 210
说明 进一步对数据的元数据进行设计,与PM配套,形成一个完整的「数据工厂」系统。本篇的作用在于梳理和设计。 内容 1 传统制造 对于传统的制造业来说,业务场景大致是这样的: 1 销售商或者终端厂商非常了解市场上需要什么,于是作为客户向工厂发出了订单。例如订购了100套沙发。 2 工厂收到订单后,开始准备原料,进行生产 1 采购根据目标产品,购买原材料(数据获取 Input) 2 原材料进行检查、裁剪(预处理) 3 预处理后的数据进行特定的处理流程(数据变换、模型) 4 准备好成品,准备发货 3 工厂
metadata-extractor-2.16.0.jar
06-19
图片文件的文件元数据读取工具
AndroidManifest.xml文件详解(meta-data)
编程资料大全
05-15 221
语法(SYNTAX): <meta-dataandroid:name="string" android:resource="resource specification" android:value="string"/> 被包含于(CONTAINED IN): <activity> <activity-alias> &l
hadoop 笔记之naomenodemetadata物理结构
似水流年
09-21 1125
建模杂谈系列98 数据(节点)元数据实践2-DNWS
yukai08008的博客
01-18 587
说明 DNWS(Data Node Warehouse Server, 数据节点仓库服务)是指通过Web服务的方式提供以pkl格式存储的数据节点存、取和查询管理。 本篇进行基本的设计和实现(debug)。 内容 1 目标 特定项目、日常的数据。 2 方式 内存式的交互:例如在ipython中调试 任务文件的分布:例如PM在分布式状态下,任务文件的协同(wget) 3 规范 作为一个基础服务,在每台算网机上都部署。 每台算网机配置有固态硬盘(Hot Layer)和机械硬盘(Cold Layer)。 ..
服务的实例已在运行中_从Capital One的数据泄漏谈实例上的元数据保护
weixin_39978282的博客
12-09 535
距离2019年那场轰动性的事件已经过去了将近十个月,Capital One 数据泄漏事件的许多细节已经渐为人知。是时候让我们放下争论,进行一次冷静的分析,思考一下究竟要如何提升安全管理的水平。按照众多媒体的报道,在2019年7月,黑客佩奇·汤普森(Paige Thompson)在 GitHub上吹嘘其所盗取的Capital One的数据,于是引发了这一场惊天大案。这次黑客攻击是有史以来金融服务公司...
都柏林核心元数据集-dublin core metadata
12-13
defiens fifteen matadata elements for resource description in a cross-dsciplinary information environment.
metadata-sources:calibre 元数据源的集合
07-01
元数据源 calibre 元数据源插件的集合。 有些是基于 calibre 自己的插件,有些是新的。 插件 阿尔西夫: 从 arxiv.org 获取元数据。 数学网: 从 Mathscinet 获取元数据。 需要订阅。 Zentrablatt: 从 ...
metadata-extractor-2.x资源jar包
08-25
总的来说,metadata-extractor-2.x是Java开发中处理图像元数据不可或缺的工具,它简化了复杂的元数据读取和修改过程,为开发者提供了强大的功能。无论是在移动应用、服务器端还是桌面应用中,都可以灵活地集成这个库...
metadata-extractor依赖引入
最新发布
01-17
metadata-extractor依赖引入
nodemeta:用于节点的 ometaJS 的可引导版本
07-13
安装为命令行工具 npm install -g nodemeta 安装为节点库 npm install nodemeta 用法 nodemeta samples/Arithmetic.ometa > ~/myproject/Arithmetic.js cd ~/myproject npm install --save nodemeta ``` var Arithmetic = require('./Arithmetic.js'); console.log(Arithmetic.Numbers.matchAll('12', 'number')) console.log(Arithmetic.Expression.matchAll('12+12', 'expression')) ```
node-ffmetadata:使用ffmpeg读写媒体元数据
05-07
节点ffmetadata 使用ffmpeg的元数据框架读取和写入媒体元数据。 备择方案 另请参阅进行一些讨论。 用法 var ffmetadata = require ( "ffmetadata" ) ; // Set path to ffmpeg - optional if in $PATH or $FFMPEG_PATH ffmetadata . setFfmpegPath ( "/path/to/ffmpeg" ) ; // Read song.mp3 metadata ffmetadata . read ( "song.mp3" , function ( err , data ) { if ( err ) console . error ( "Error reading metadata" , err ) ; else console . log ( data ) ; }
HDFS简介之HDFS实战知识点
weixin_43951105的博客
04-19 530
今天总结了一些HDFS的分享一下。。 HDFS是hadoop分布式文件系统是一中文件系统,设计用于在商用硬件上运行,它与现有的分布式文件系统有许多相似之处,但是与这些分布式文件系统有所差别,Hdfs具有高度的容错能力,致力与部署在低成本的硬件上。HDFS提供对应用数据的高吞吐量访问,适用于具有极大规模数据集的应用程序。HDFS为了实现对文件系统数据的流式数据访问,放宽了一些POSIX要求。HDF...
什么是元数据 (MetaData)
热门推荐
it_man的专栏
03-11 7万+
什么是元数据?        元数据(Meta Date),关于数据的数据或者叫做用来描述数据的数据或者叫做信息的信息。        这些定义都很是抽象,我们可以把元数据简单的理解成,最小的数据单位。元数据可以为数据说明其元素或属性(名称、大小、数据类型、等),或其结构(长度、字段、数据列),或其相关数据(位于何处、如何联系、拥有者)。        举几个简单的例子:
大数据,小细节:元数据如何带来安全风险
挨踢小石头
08-26 740
  大数据,小细节:元数据如何带来安全风险   随着大数据的兴起,元数据突然变得有价值。如果一张图片胜过千言万语,则元数据表达的信息将无限多。现在它可能会带来安全风险。      元数据中有什么?   照片元数据中包含许多种信息。但是,其中一个主要信息是Exif文件中的GPS位置。每当人们使用手机拍照时,它都会将其位置数据嵌入到文件中。如果立即上传该照片,或者定期从私有场所(例如家中)上传...
元数据MetaData)的简单理解
tyyking的博客
09-27 3万+
元数据是用来描述数据的数据(Data that describes other data)。单单这样说,不太好理解,我来举个例子。 下面是契诃夫的小说《套中人》中的一段,描写一个叫做瓦莲卡的女子: (她)年纪已经不轻,三十岁上下,个子高挑,身材匀称,黑黑的眉毛,红红的脸蛋--一句话,不是姑娘,而是果冻,她那样活跃,吵吵嚷嚷,不停地哼着小俄罗斯的抒情歌曲,高声大笑,动不动就发出一连串响亮的笑声...
ffmpeg文档23-元数据(metadata)
weixin_30336061的博客
02-17 1450
23 元数据metadata) FFmpeg能够提取媒体文件元数据,并转储到一个简单的utf-8编码的类INI文本文件中,然后在分离器/混合器中再次使用 转储的文件格式为: 文件包含一个头,以及一些元数据标签,元数据放置在各自子节的行中 文件头有一个 ‘;FFMETADATA’ 字符串,紧接着版本号(目前为1) 元数据标签以‘key=value’ 形式给...
云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管
今天是几号的博客
10-12 1528
元数据解释:实例元数据metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。各大云元数据地址:阿里云元数据地址:http://100.100.100.200/腾讯云元数据地址:http://metadata.tencentyun.com/
antv X6 Node配置参考
ywyanimate的博客
05-24 7304
Node 阅读时间约 14 分钟 Node 是所有节点的基类,继承自Cell,并定义了节点的通用属性和方法。 constructor constructor(metadata?: Node.Metadata) 其中Node.Metadata是创建节点的选项,除了从 Cell继承的markup、attrs、zIndex等选项外,还支持以下选项。 选项 类型 默认值 必选 描述 size { width: number; height: number ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

对你无可奈何2008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值