Cluster Setup - Verify Platform_Binaries

最新推荐文章于 2022-03-25 17:14:58 发布
最新推荐文章于 2022-03-25 17:14:58 发布
阅读量258 收藏 2
点赞数 4
分类专栏: CKS学习笔记 文章标签: linux docker kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saynaihe/article/details/114836725
版权

释意:

Verify platform binaries 验证平台的二进制文件

1. Hashes 哈希散列

详见知乎:https://zhuanlan.zhihu.com/p/37165658关于哈希算法与MD5、SHA讲的很是详细。还有csdn的https://blog.csdn.net/ljy1988123/article/details/51506578

1.1 Theory and Hashes-理论与哈希

哈希算法有两个评价标准,一个是无法回源,一个是随机性(碰撞概率小),一个是计算速度。常见的算法 Hash SHA MD5
image.png

1.2 Download and verify binaries 下载并验证二进制文件

1.2.1 确认版本

image.png

1.2.2 Dowload kubernetes release from github

image.png
image.png
image.png

1.2.3 verify downloaded files 验证下载文件

sha512sum   kubernetes-server-linux-amd64.tar.gz >compare

image.png
image.png
image.png

将github页面的sha512 hash 跟本地验证的对比 oK一致

1.3. Verify binaries from container验证容器中的二进制文件

image.png

1.3.1 解压 从github下载的1.9.3的kubernetes压缩包,以kube-apiserver为例,验证解压文件夹内的kuber-apiserver的 sha512sum.并将其写入compare文件

root@cks-master:~/hash# tar -zxf kubernetes-server-linux-amd64.tar.gz 
root@cks-master:~/hash# ls kubernetes
addons  kubernetes-src.tar.gz  LICENSES  server
root@cks-master:~/hash# ls kubernetes/server/bin/
apiextensions-apiserver  kube-aggregator  kube-apiserver.docker_tag  kube-controller-manager             kube-controller-manager.tar  kubelet     kube-proxy.docker_tag  kube-scheduler             kube-scheduler.tar
kubeadm                  kube-apiserver   kube-apiserver.tar         kube-controller-manager.docker_tag  kubectl                      kube-proxy  kube-proxy.tar         kube-scheduler.docker_tag  mounter
root@cks-master:~/hash# sha512sum kubernetes/server/bin/kube-apiserver
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  kubernetes/server/bin/kube-apiserver
root@cks-master:~/hash# sha256sum kubernetes/server/bin/kube-apiserver > compare

1.3.2 再次确认下 kubernetes集群中kube-apiserver运行的是同版本1.19.3,然后container中是没有bash sh的。使用docker cp copy到container-fs文件夹,当然其实也可以用kubectl cp查找文件夹中kube-apiserver文件。然后sh512sum ,追加如compare文件。对哈希值进行对比:

root@cks-master:~/hash# kubectl get pods -n kube-system|grep api
kube-apiserver-cks-master            1/1     Running   0          42d
root@cks-master:~/hash#  kubectl get pod kube-apiserver-cks-master -n kube-system -o yaml|grep image
            f:image: {}
            f:imagePullPolicy: {}
    image: k8s.gcr.io/kube-apiserver:v1.19.3
    imagePullPolicy: IfNotPresent
    image: k8s.gcr.io/kube-apiserver:v1.19.3
    imageID: docker://sha256:a301be0cd44bb11162da49b9c55fc5d137f493bdefcf80226378204be403fa41
root@cks-master:~/hash# kubectl exec -it kube-apiserver-cks-master bash -n kube-system
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
OCI runtime exec failed: exec failed: container_linux.go:349: starting container process caused "exec: \"bash\": executable file not found in $PATH": unknown
command terminated with exit code 126
root@cks-master:~/hash# docker ps |grep apiserver
72c54882e5c0        a301be0cd44b           "kube-apiserver --ad…"   6 weeks ago         Up 6 weeks                              k8s_kube-apiserver_kube-apiserver-cks-master_kube-system_a2aef6235c950d78a8c2a8f52536f35e_0
4045b57cf208        k8s.gcr.io/pause:3.2   "/pause"                 6 weeks ago         Up 6 weeks                              k8s_POD_kube-apiserver-cks-master_kube-system_a2aef6235c950d78a8c2a8f52536f35e_0
root@cks-master:~/hash# docker cp 72c54882e5c0:/ container-fs
root@cks-master:~/hash# find container-fs/ -name kube-apiserver
container-fs/usr/local/bin/kube-apiserver
root@cks-master:~/hash# sha512sum container-fs/usr/local/bin/kube-apiserver
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  container-fs/usr/local/bin/kube-apiserver
root@cks-master:~/hash# sha512sum container-fs/usr/local/bin/kube-apiserver >> co
compare       container-fs/ 
root@cks-master:~/hash# sha512sum container-fs/usr/local/bin/kube-apiserver >> compare 
root@cks-master:~/hash# cat compare 
3bda7b83d70fc762759f88a93b760355a6c1023be959d613a3faf113b975200c  kubernetes/server/bin/kube-apiserver
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  container-fs/usr/local/bin/kube-apiserver
root@cks-master:~/hash# rm -rf compare 
root@cks-master:~/hash# sha512sum kubernetes/server/bin/kube-apiserver
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  kubernetes/server/bin/kube-apiserver
root@cks-master:~/hash# sha512sum kubernetes/server/bin/kube-apiserver > compare
root@cks-master:~/hash# cat compare 
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  kubernetes/server/bin/kube-apiserver
root@cks-master:~/hash# sha512sum container-fs/usr/local/bin/kube-apiserver >> compare
root@cks-master:~/hash# cat compare 
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  kubernetes/server/bin/kube-apiserver
49b3a12ee597ea3bf9ece98accb62018ef758e4766ae44e24386838306cf69a2bc5dc7f8c0b728abecb972a4b651271f140bfdf0047e483c1556662cbd5b914a  container-fs/usr/local/bin/kube-apiserver

image.png
验证通过 OK

对你无可奈何2008
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
成功解决: \“exec: \\\“chaincode\\\“: executable file not found in $PATH\“: unknown“
GniLAY1022的博客
07-27 1万+
OCI runtime create failed: container_linux.go:349: starting container process caused \"exec: \\\"chaincode\\\": executable file not found in $PATH\": unknown" Hyperledger Fabric2.0初始化链码时遇到如上错误 尝试了很多办法都未得到解决,最后猜想可能跟依赖有关,之前为了提速使用的是 go env -w GOPROXY=https:/
deepin-elf-verify_0.0.14.5-1_arm64.deb
12-15
签名下载ELF检测
docker中遇到 executable file not found in $PATH 解决方案
weixin_46035332的博客
03-20 1万+
问题描述: 在docker中 想要进入某个的容器时: docker exec -it 容器Id bash 出现如下错误: rpc error: code = 2 desc = oci runtime error: exec failed: container_linux.go:235: starting container process caused "exec: \"bash\": executable file not found in $PATH" 解决方案: 把bash 换成 sh 例如:
kuberntes集群不能解析service ip故障排查记录
耕耘
03-25 8966
一、故障描述 涉及kubernetes版本: 1.20 kuberntes集群发布服务后,不能正常解析service ip,无法使用telnet测试服务ip 在kubernetes命名空间里部署redis,名称为nw-redis,类型为ClusterIP # kubectl get pods,svc | grep nw-redis pod/nw-redis-7c7b79cbff-xvs9j 1/1 Running 0 3h5m service/nw-re...
Docker执行cd命令提示executable file not found in $PATH": unknown
不卡机的博客
11-06 3万+
Docker无法修改命令的执行位置,如果遇到需要进入其他目录执行的命令如“ls”,请使用以下组合bash: docker exec -it [容器名] bash -c "cd [目录名1] && cd [目录名2] && ls" ...
学习狂神docker报错解决:executable file not found in $PATH: unknown
qq_45697630的博客
02-27 1万+
最近学习docker网络,废话不多说,直接上代码!! 错误信息 :OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: “ip”: executable file not found in $PATH: unknown 解决方案: ①进入容器docker exec -it tomcat1 /bin/bash ②更新:apt update &&a
vue-drag-verify_verify_dragVerify卡顿_thousandm5p_vue_silly9fx_
10-02
在"vue-drag-verify_verify_dragVerify卡顿_thousandm5p_vue_silly9fx_"这个标题中,"dragVerify卡顿"可能是指在使用Vue Drag Verify组件时遇到了性能问题,可能是由于大量元素渲染或拖动操作不流畅导致的。...
deepin-elf-verify_0.2.14.5-1_mips64el.deb
01-14
依赖关系不满足:deepin-elf-verify,(修改版本号骗过验证,实际为0.0.14.5-1)
victoria-4-46b_hddtest_verify_
10-03
标题“victoria-4-46b_hddtest_verify_”揭示了这是一次使用Victoria软件进行硬盘读写及验证测试的过程。Victoria是一款专业的硬盘检测工具,特别用于执行硬盘的全面诊断,包括读写测试和校验。版本号4.46b表明这是...
FPS-finger-verify.rar_FPS C_verify_指纹识别
09-14
这个"FPS-finger-verify.rar_FPS C_verify_指纹识别"压缩包文件似乎包含了一个基于C语言实现的指纹识别和验证软件系统。下面我们将深入探讨相关的知识点。 首先,指纹识别是利用人的指纹具有唯一性和永久性的特性...
docker: executable file not found in $PATH
vevoly的博客
02-18 3万+
问题: docker run learn/tutorial ping www.baidu.com docker: Error response from daemon: OCI runtime create failed: container_linux.go:296: starting container process caused "exec: \"ping\": executable f...
kubernetes/k8s概念】k8s 坑问题汇总
热门推荐
zhonglinzhang
12-26 3万+
1.Pod始终处于Pending状态 如果Pod保持在Pending的状态,意味着无法被正常的调度到节点上。由于某种系统资源无法满足Pod运行的需求 系统没有足够的资源:已经用尽了集群中所有的CPU或内存资源。需要清理一些不在需要的Pod,调整它们所需的资源量,或者向集群中增加新的节点。 用户指定了hostPort:通过hostPort用户能够将服务暴露到指定的主机端口上,会限......
Node Metadata Protection--节点的元数据保护
saynaihe的博客
03-13 2305
1. 关于元数据 kubernets集群不管是运行与公有云还是私有云,都是有些元数据的资源的各种各样的标签。比如镜像id,网络设备id,硬盘的唯一id等。 2. 举一个例子 2.1 cloud platform node metadata 云平台节点元数据 拿谷歌云和亚马逊云来说 默认的情况下可以从虚拟机vm(云主机)访问元数据服务的api 元数据中保护有vm节点(云主机)的各种凭据信息。如网络id,镜像id vpcid.硬盘等待各种相关信息。具体详细度要看云商平台或者私有云架构 可以包含诸如ku.
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
saynaihe的博客
03-13 784
前言 这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。 1 . 关于CSI的释意 1 . 什么是 CIS CIS----Center fo internet Security 互联网安全中心 2. 关于csi 安全配置目标系统的最佳实践 涵盖超过14个技术组织 通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成 3. 关于 CIS Benchmarks CIS Benchmarks -De
K8s Security Best Practices-K8S安全最佳实践
saynaihe的博客
03-10 644
** 关于安全-写在前面的: Security is complex and a process 安全是复杂的,而且是一个过程 Security combines many diffenrent things 安全结合了许多不同的东西 Environments change,security cannot stay in a certain state 环境变化,安全性不能保持一定状态 Attackers have advantage
Cluster Hardening - RBAC
saynaihe的博客
03-18 524
注:通过RBAC对集群进行加固 关于RBAC RBAC-role based access control 基于角色的访问控制 注:ABAC(基于属性的访问控制),ABAC木有接触过… 1. Introduction to RBAC RBAC介绍 "Role-based access control (RBAC) is a method of regulating accessto computer or network resources based on the roles of individua
Cluster Setup - GUI Elements GUI仪表盘
saynaihe的博客
03-11 456
1. 前言 这部分主要讲了kubernetes的Gui工具 dashboard。 1. 关于 GUI元素的访问控制 1. GUI元素和仪表盘 2. 外部访问仪表盘的方法 3. 访问的限制 2. GUI元素和仪表盘遵循的原则 1. 只在需要时向外部公开服务 2. 集群内部服务/仪表板也可以使用kubectlport-forward端口转发访问。 3. 需要开启rbac权限控制,否则蒋导致权限过大 4. 对外暴露不是必须的 2. 代理的方式 1. 关于 Kubectl porxy方式 1. cr
Cluster Setup - Secure Ingress--安全入口
saynaihe的博客
03-12 450
前言 ingress objects with security control 一个具有安全控制的入口对象 what is ingress? 什么是入口 setup an ingress with services 使用服务设置入口 secure an ingress with tls 使用tls保护入口 参见官方文档 https://kubernetes.io/docs/concepts/services-ne
Cluster Setup - Network Policies 网络规则
saynaihe的博客
03-10 393
1. 网络安全规则 1.1. 关于网络安全规则 1. Firewall rules in kubernetes kubernetes 集群中的防火墙规则 2. Implemented by the Network Plugin CNI(Calico/Weave) 网络插件的实施方案 3. Namespace level 命名空间的级别 4. Restrict the ingress and/or Egress for a goup of pods based on
CParasolidTestGLDoc* pDoc = GetDocument(); MakeCurrent(TRUE); if(m_firstDraw == TRUE) { m_firstDraw = FALSE; // Otherwise the first draw is a blank ! VERIFY_GL(glDrawBuffer(GL_FRONT_AND_BACK)); ReRender(); } else VERIFY_GL(glDrawBuffer(GL_BACK)); VERIFY_GL(glClear(GL_COLOR_BUFFER_BIT | GL_DEPTH_BUFFER_BIT)); VERIFY_GL(glMatrixMode(GL_MODELVIEW)); VERIFY_GL(glPushMatrix()); VERIFY_GL(glTranslated( -pDoc->m_viewCentre.coord[0], -pDoc->m_viewCentre.coord[1], -pDoc->m_viewCentre.coord[2])); if(pDoc->m_nrenderGeoms != 0 || pDoc->m_nparts != 0) { VERIFY_GL(glCallList(m_partDisplaylist)); } VERIFY_GL(glFlush()); VERIFY_GL(glPopMatrix()); RenderAxis(0.0, 0.0); SwapBuffers(pDC->m_hDC); pDC->RealizePalette(); MakeCurrent(FALSE); VERIFY_GL(glViewport(0, 0, m_winWidth, m_winHeight)); SetViewVolume(); 翻译这段代码
最新发布
06-14
这段代码是一个OpenGL的绘图函数,主要作用是在OpenGL窗口中绘制三维几何体。具体实现步骤如下: 1.获取文档对象(CParasolidTestGLDoc* pDoc)。 2.调用MakeCurrent(TRUE)函数将OpenGL渲染上下文设置为当前。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

对你无可奈何2008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值