Kubernetes学习笔记-保障集群内节点和网络安全(1)在pod中使用宿主节点的linux命名空间 20220827

已于 2022-08-30 14:45:37 修改
阅读量354 收藏
点赞数
分类专栏: 学习笔记 文章标签: kubernetes 学习 web安全
于 2022-08-28 10:35:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwxsoft/article/details/126567150
版权

回顾
前一节讲了如何保障api服务器的安全。如果攻击者获得了访问api服务器的权限,他们可以通过在容器镜像中打包自己的代码并在pod中运行来做任何的事,这样并不一定能造成危害,因为容器是与同一宿主节点其他容器隔离开的。不一定能访问所在宿主节点的资源。这节将介绍如何允许pod访问所在节点的宿主资源


在pod中使用宿主节点的linux命名空间
pod中的容器通常在分开的linux命名空间中运行。这些命名空间将容器中的进程与其他容器、宿主机默认命名空间中的进程隔离开来。
如:每一个pod有自己的ip和端口空间,这是因为它拥有自己的网络命名空间。类似的;每个pod拥有自己的进程树,因为它有自己的pid命名空间。同样的,pod拥有自己的ipc命名空间,仅允许同一pod内的进程通过进程间通信机制进行交流


1、在pod中使用宿主节点的网络命名空间
部分pod(特别是系统pod)需要在宿主节点的默认命名空间中运行,以运行它们看到和操作节点级别的资源和设备。如果某个pod需要使用宿主节点上的网络适配器,而不是自己的虚拟网络设备,就可以通过将pod spec 中的hostNetwork设置为true实现。这样这个pod可以使用宿主节点的网络接口,而不是拥有自己独立的网络。这意味着这个pod没有自己的ip地址;如果这个pod中的某个进程绑定了某个端口,那么该进程将被绑定到宿主节点的端口上。


2、绑定宿主节点上的端口而不使用宿主节点的网络命名空间
pod拥有自己的命名空间的同时,端口绑定到宿主节点的端口,可以通过配置pod的spec.containers.ports字段中某个容器某一端口的hostport属性来实现。
注:不要混淆使用hostport的pod和通过nodeport服务暴露的pod。
对于一个使用hostport的pod,到达宿主节点的端口的连接会被直接转发到pod的对应端口上;然而在nodeport服务中,到达宿主节点的端口的连接将被转发到随机选取的pod上(这个pod可能在其他节点上)。另一个区别是,对于使用hostport的pod,仅有运行了这类pod的节点会绑定对应的端口;而nodeport类型的服务会在所有的节点上绑定端口,即使这个节点上没有运行对应的pod。
很重要的一点是,如果一个pod绑定了宿主节点上的一个特定端口,每个宿主节点只能调度一个这样的pod实例,因为两个进程不能绑定宿主机上的同一个端口。调度器在调度pod时会考虑这一点,所以不会把两个这样的pod调度到同一个节点上。


3、使用宿主节点的pid与ipc命名空间
pod spec中的hostPID和hostIPC选项与hostNetwork相似,让他们被设置为true时,pod中的容器会使用宿主节点的PID和IPC命名空间,分别运行它们看到宿主机上的全部进程,或通过IPC机制与他们通信。
将hostIPC设置为true,pod中的进程就可以通过进程间通信机制与宿主机上的其他所有进程进行通信。


 

dudu妈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes 集群安全
一文深入理解 Kubernetes
mnhpo_Q的博客
06-26 586
这篇文章,你要翻很久,建议收藏。 Kubernetes,简称 K8s,是用 8 代替 8 个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台多个主机上的容器化的应用。k8s 作为学习云原生的入门技术,熟练运用 k8s 就相当于打开了云原生的大门。本文通过笔者阅读书籍整理完成,希望能帮助想学习云原生、以及正在学习云原生的童鞋快速掌握核心要点。学习 k8s 和大家学习 linux 差不多,看似复杂,但掌握了日常熟悉的指令和运行机理就能愉快的使用了,本文的重点和难点是服务、kubernet.
kubernetes之网络
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-30 1567
一、概要 kubernetes的网络设计主要针对以下几种情况实现的: ● 同一pod下容器与容器的通信(容器之间); ● 同一节点下不同的pod之间的容器间通信(Pod之间); ● 不同节点下容器之间的通信; ● 集群外部与内部组件的通信; ● pod与service之间的通信; ● Internet与Service之间的网络; k8s对集群的网络有以下要求: ● 所有的Pods之间可以在不使用NAT网络地址转换的情况下相互通信; ● 所有的Nodes之间可以在不使用NAT网络地址转换的情况下相互通信; ●
k8s篇之Pod 安全策略
不务正业随手记
03-04 1439
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod安全策略进行管理。
K8S 设置pod使用host网络、配置DNS
weixin_43490243的博客
09-28 3391
但这样起来后似乎就用不了 K8S 配置的 Service 的域名,K8S 使用的 DNS 是 Core DNS,可以在这里添加新的域名、IP。1.如果希望 Pod 可以使用宿主机的网络,可以添加 hostNetwork: true。
kubernetes学习之路--BadPods(Part2)
zyer
12-15 630
Pods配置学习
kubernetes学习之路--BadPods(Part1)
zyer
12-12 419
安全pod配置学习--BadPods(less1)
容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)
多恩斯基的博客
10-19 1003
本文将演示如何利用在 Kubernetes 容器的 privileged、hostpath、hostpid、hostipc、hostnetwork 配置实现对容器或宿主机的攻击,包括获得敏感数据、杀掉关键进程等。
kubectl-plugin-ssh-jump:一个使用SSH跳转主机Pod SSH到Kubernetes节点的kubectl插件
05-26
kubectl-plugin-ssh-jump 一个使用SSH跳转主机Pod SSH到Kubernetes节点的kubectl插件jump host Pod是到Kubernetes节点机器的Pod或SSH网关,通过它可以与节点机器建立连接。 在这种情况下,您想连接到Kubernetes...
USB学习笔记-Linux的USB驱动.pdf
最新发布
10-26
USB学习笔记_Linux的USB驱动.pdf
USB学习笔记-Linux的USB驱动分析.pdf
10-26
USB学习笔记_Linux的USB驱动分析.pdf
Kubernetes(K8s)_11_安全机制
爱喝可乐的w
02-23 809
Kubernetes(K8s)保证集群安全机制
【K8S】详解K8S关于pod和网络的一切问题
带你去吃小豆花的博客
07-23 2588
K8S集群pod网络通信,pod的状态,pod的调度策略,pod的健康检查
【k8s】八、Pod详解(二)
zhh763984017的博客
10-25 1564
上一篇文章【k8s】七、Pod详解(一)简单介绍了Pod的基本概念和分类,以及Pod的控制器类型,本篇文章会进一步介绍Pod的网络。涉及概念的东西也比较多,需要各位同学也耐心看一下。
kubernetes--pod安全策略(podSecurityPolicy)
m0_57911290的博客
02-16 4236
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicy 在 Kubernetes v1.21 被弃用, 在 Kubernetes v1.25 被移除。
kubernetes pod资源清单之spec
Dakshesh的博客
04-06 1188
spec目标状态 spec.containers [root@k8s01 ~]# kubectl explain pod.spec.containers RESOURCE: containers <[]Object> DESCRIPTION: List of containers belonging to the pod. Containers cannot current...
Prometheus详解(八)——Prometheus监控Kubernetes集群节点
永远是少年
05-25 2013
今天继续给大家介绍Linux运维相关知识,本文主要内容是Prometheus监控Kubernetes集群节点。 一、Node-exporter部署 二、Prometheus配置 三、结果查看
Docker每次启动容器,IP及hosts指定
热门推荐
淡淡的倔强的博客
05-30 7万+
前言 每次在使用Docker启动Hadoop集群的时候,都需要重新绑定下网卡,固定IP,同时修改/etc/hosts文件,非常麻烦,于是想探寻下原因及优化。 一、原因 /etc/hosts, /etc/resolv.conf和/etc/hostname,容器的这三个文件不存在于镜像,在启动容器的时候,通过mount的形式将这些文件挂载到容器内部。因此,如果在容器修改这些文件的...
集群外访问k8s的pod 的几种方式--hostNetwork
weixin_34034670的博客
08-23 2548
前言 有5种方法可以让集群外访问运行在Kubernetes集群上的应用程序(pod)。接下来我们详细讨论KuberneteshostNetwork,hostPort,NodePort,LoadBalancer和Ingress功能。本章内容主要解读一下hostNetwork。 hostNetwork demo hostNetwork设置...
WPF笔记(1) - TreeView使用数据绑定时如何展开所有节点
06-08
使用数据绑定绑定 TreeView 的 ItemsSource 属性时,展开所有节点的方法如下: 1. 在 TreeView 控件添加一个 Loaded 事件处理程序。 2. 在事件处理程序遍历 TreeView 控件的所有 TreeViewItem,并设置 IsExpanded 属性为 true。 下面是示例代码: ```csharp private void treeView_Loaded(object sender, RoutedEventArgs e) { // 获取 TreeView 控件 TreeView treeView = sender as TreeView; // 遍历 TreeView 控件的所有 TreeViewItem foreach (var item in treeView.Items) { TreeViewItem treeViewItem = treeView.ItemContainerGenerator.ContainerFromItem(item) as TreeViewItem; if (treeViewItem != null) { // 设置 TreeViewItem 的 IsExpanded 属性为 true treeViewItem.IsExpanded = true; // 递归遍历子节点 ExpandAll(treeViewItem); } } } private void ExpandAll(TreeViewItem treeViewItem) { // 遍历子节点 foreach (var item in treeViewItem.Items) { TreeViewItem childTreeViewItem = treeViewItem.ItemContainerGenerator.ContainerFromItem(item) as TreeViewItem; if (childTreeViewItem != null) { // 设置子节点的 IsExpanded 属性为 true childTreeViewItem.IsExpanded = true; // 递归遍历子节点的子节点 ExpandAll(childTreeViewItem); } } } ``` 在上面的代码,ExpandAll 方法用于递归遍历子节点的子节点,并设置它们的 IsExpanded 属性为 true。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值