k8s pod里访问不到外部ip_安全公告:影响所有K8s版本的设计缺陷

最新推荐文章于 2024-06-05 00:48:14 发布
最新推荐文章于 2024-06-05 00:48:14 发布
阅读量352 收藏
点赞数
文章标签: k8s pod里访问不到外部ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32073865/article/details/112188648
版权

40eb93fd7748843168d26282d4ab486b.gif

K8s产品委员会于本周一发布了一个安全公告,该公告揭露了一个K8s影响多租户集群的安全漏洞。该漏洞由Anevia的Etienne Champetier报告。如果潜在的攻击者已经可以创建或编辑服务和Pod,则他们可能能够拦截来自集群中其他Pod(或节点)的流量。

230e5a691700c6dba0b97ff86f735a7a.png

委员会已将此问题等级列为中等严重性,并分配为CVE-2020-8554 。

af89ea8f0705dff9bb76cc724a442a93.png

能够创建ClusterIP服务并设置spec.externalIPs字段的攻击者可以拦截到该IP的流量。能够修补LoadBalancer服务状态(通常被认为是特权操作,通常不应授予用户)的攻击者可以将status.loadBalancer.ingress.ip设置为类似效果。

此问题是设计缺陷,由于K8s开发团队尚未提供安全更新来解决此问题,建议k8s管理员通过限制对易受攻击功能的访问来缓解CVE-2020-8554漏洞。</

最低0.47元/天 解锁文章
雨田耳门
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 容器技术 — 容器网络
烟云的计算
10-02 8000
目录 文章目录目录容器网络容器网络类型bridge 模式host 模式Container 模式none 模式容器端口映射容器跨主机通信 容器网络 容器网络类型 Docker 提供几种类型的网络,它决定容器之间、容器与外界之前的通信方式。 查看网络: $ docker network ls NETWORK ID NAME DRIVER SCOPE 1cebe6628a06 bridge br
k8s pod访问不到外部ip_Kubernetes中的Pod无法访问外网-Ubuntu16.04 LTS,
weixin_39857792的博客
12-20 1461
Kubernetes中的Pod无法访问外网-Ubuntu16.04 LTS,Kubernetes中的Pod无法访问外网-Ubuntu16.04 LTS安装完Kubernetes后,在Pod中使用wget无法访问外网URL地址,但是使用IP地址是可以 访问,应该是Pod内无法解析DNS导致的。1、解决方法尝试了将DNS换为CoreDNS,问题仍然存在。经过多次测试,发现下面的方法是可行的:编辑主机的...
k8s pod访问不到外部ip_K8S(Kubernetes)
weixin_36435766的博客
12-21 1936
1、Kubernetes的重要概念ClusterCluster 是计算、存储和网络资源的集合,Kubernetes 利用这些资源运行各种基于容器的应用。MasterMaster 是 Cluster 的大脑,它的主要职责是调度,即决定将应用放在哪运行。Master 运行 Linux 操作系统,可以是物理机或者虚拟机。为了实现高可用,可以运行多个 Master。NodeNode 的职...
k8s pod访问不到外部ip_无法从Kubernetes Pod内部连接到外部数据库
weixin_39955781的博客
12-20 948
I am trying to connect my spring-boot api inside a kubernetes pod to an external database (a separate machine but within the local network), however when running, I get SQLNonTransientConnectionExcept...
k8s 对外服务之 Ingress
最新发布
2301_81307988的博客
06-05 1033
service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部pod进行访问。在Kubernetes中,PodIP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务,Kubernetes目前提供了以下几种方案:●NodePort。
pause pod 什么是pod_Kubernetes之POD、容器之间的网络通信
weixin_39936134的博客
11-21 386
欢迎关注头条号:老顾聊技术精品原创技术分享,知识的组装工前言Kubernetes(简称K8S)是开源的容器集群管理系统,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。它既是一款容器编排工具,也是全新的基于容器技术的分布式架构领先方案。在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等功能,提高了大规模容器集群管理的便捷性。基础概念ContainerCon...
解决k8s中xxl-job执行器pod重建后无法读取到执行日志的问题
08-24
但在k8s中,即使将本地文件通过nfs独立存储,在pod重建后也通常会因为ip变更,找不到执行器,导致读取不到执行日志。解决方案为单独再部署一个xxl-job-read-log服务,将读日志的请求都转到这个服务上,由这个服务...
K8s外部网络访问之NodePort资源附件
10-22
NodePort服务是K8s提供的一种简单且自动化的外部访问方式,适用于小规模或测试环境,不涉及负载均衡或复杂的路由策略。 NodePort服务的定义包括以下几个核心部分: 1. **类型(type)**:必须设置为`NodePort`,...
k8s-eip:将弹性IP绑定到AWS上的Kubernetes节点以降低成本
03-22
它将一组指定的弹性IP绑定到AWS上的多个K8S节点。它会定期运行,因此您不能将其用于HA /关键用例。 问:是否会触发令人恐惧的弹性IP重新映射费用? 作为一个以省钱为目标的项目,肯定没有:)。实际上,它会尝试不这样...
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术中非常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 ...
k8spod监控看板
12-15
k8spod监控看板
解决k8s上运行的Pod无法ping通外网的问题
Bro_Jr的博客
08-01 2100
问题描述:在Pod内运行maven时无法下载远程仓库中的依赖 报错情况如下: 解决过程 (1)在master节点上查看kube-system名称空间 kubectl get all -o wide -n kube-system (2)发现deployment.apps/coredns无法运行,原因是工作节点上没有coredns的docker镜像 (3)在工作节点上拉取coredns镜像(参见:https://blog.csdn.net/leisurelen/article/details/..
k8s pod访问不到外部ip_Kubernetes中外部客户端访问Pod的几种方式
weixin_39601511的博客
12-20 3103
kubernetes集群上运行的pod,在集群内访问是很容易的,最简单的,可以通过podip访问,也可以通过对应的svc来访问,但在集群外,由于kubernetes集群的pod ip地址是内部网络地址,因此从集群外是访问不到的。为了解决这个问题,kubernetes提供了如下几个方法。hostNetworkhostPortservice NodePorthostNetwork: truehos...
k8s pod访问不到外部ip_TF+K8s部署指南丨K8s更新及Tungsten Fabric功能支持
weixin_35927318的博客
12-31 822
本文重点介绍Kubernetes的更新,以及Tungsten Fabric中相应支持的功能。Kubernetes节点的TLS引导功能从5.1版本开始,Tungsten Fabric支持Kubernetes节点的TLS引导(Bootstrapping)。TLS引导简化了Kubernetes从TF集群中添加和移除节点的能力。基于优先权的多租户从5.1版本开始,Tungsten Fabric通...
k8s 禁止某些(role: db)pod联网
llc的博客
10-30 579
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: role: db policyTypes: - Ingress - Egress
k8s pod访问不到外部ip_k8s集群中pod内不能访问clusterIP和service
weixin_28839629的博客
12-29 1232
排错背景:在一次生产环境的部署过程中,配置文件中配置的访问地址为集群的Service,配置好后发现服务不能正常访问,遂启动了一个busybox进行测试,测试发现在busybox中,能通过coredns正常的解析到IP,然后去ping了一下service,发现不能ping通,ping clusterIP也不能ping通。排错经历:首先排查了kube-proxy是否正常,发现启动都是正常的,然后也重启...
k8s pod访问不到外部ip_启用IPVS的K8S集群无法从Pod外部访问自己的排障
weixin_39667452的博客
12-20 1017
云上的启用IPVS的K8S集群,无法从Pod外部访问自己的排障流水账。问题描述:阿云上的托管版K8S集群(下面简称ACK),启用了IPVS集群中有两个应用Foo和Bar,Bar使用Ingress暴露外网地址,bar.xxx.comFoo应用无法访问 bar.xxx.com ,得到的错误是 Connection refused初步排障在集群外部测试ping bar.xxx.com,能够pin...
K8s集群某节点出现异常,新分配到node上面的pod不能ping通外部pod,同节点pod、宿主机IP也不行,外部pod也不可以ping通IP
scDN121的博客
07-28 1362
(注:一定要云平台后台关机重启,测试过reboot启动后还是不行)###这没分析到为什么旧的pod是正常网络的,可以ping出去,也正是这个问题一开始干扰了问题排查思路,应该是calico网卡维护了一部分路由表信息吧?
k8s pod访问不到外部ip_Kubernetes中暴露外部IP地址来访问集群中的应用
weixin_39713538的博客
12-20 509
本文是Kubernetes.io官方文档中介绍如何创建暴露外部IP地址的Kubernetes Service对象。学习目标运行Hello World应用程序的五个实例。创建一个暴露外部IP地址的Service对象。使用Service对象访问正在运行的应用程序。准备工作使用Google提供商(如Google Container Engine或Amazon Web Services)创建Kubern...
深入理解K8S集群控制器:从冰箱设计到实战解析
"K8S(kubernetes)学习指南.pdf 是一本入门级的Kubernetes书籍,主要涵盖K8S的关键概念和技术,包括集群控制器、网络、伸缩、认证与调度、服务实现、镜像管理等内容,并提供了实践案例,如集群节点管理、安全组配置和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值