老卫带你学---K8S源码剖析(Capabilities)

最新推荐文章于 2024-06-19 11:44:41 发布
最新推荐文章于 2024-06-19 11:44:41 发布
阅读量413 收藏 8
点赞数 9
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yixieling4397/article/details/136483727
版权

K8S源码剖析(Capabilities)

我们可以在pod、container中通过设置securityContext来限制container对宿节点的权限

但是有的时候我们需要给予container部分系统特权,那就需要额外配置capability,比如这样:

containers:
- name: sec-ctx-4
  image: gcr.io/google-samples/node-hello:1.0
  securityContext:
    capabilities:
      add: ["NET_ADMIN", "SYS_TIME"]

那实现原理:

  • 初始化一个capability对象(这里注意是sync.once,保证分布式场景下只会创建一个),因为其在linux下是固定的列表
  • 对于需要添加Privilege的container给予获取
// Capabilities defines the set of capabilities available within the system.
// For now these are global.  Eventually they may be per-user
type Capabilities struct {
	AllowPrivileged bool

	// Pod sources from which to allow privileged capabilities like host networking, sharing the host
	// IPC namespace, and sharing the host PID namespace.
	PrivilegedSources PrivilegedSources

	// PerConnectionBandwidthLimitBytesPerSec limits the throughput of each connection (currently only used for proxy, exec, attach)
	PerConnectionBandwidthLimitBytesPerSec int64
}

var capInstance struct {
	once         sync.Once
	lock         sync.Mutex
	capabilities *Capabilities
}

// Initialize the capability set.  This can only be done once per binary, subsequent calls are ignored.
func Initialize(c Capabilities) {
	// Only do this once
	capInstance.once.Do(func() {
		capInstance.capabilities = &c
	})
}

// Setup the capability set.  It wraps Initialize for improving usability.
func Setup(allowPrivileged bool, perConnectionBytesPerSec int64) {
	Initialize(Capabilities{
		AllowPrivileged:                        allowPrivileged,
		PerConnectionBandwidthLimitBytesPerSec: perConnectionBytesPerSec,
	})
}

// Get returns a read-only copy of the system capabilities.
func Get() Capabilities {
	capInstance.lock.Lock()
	defer capInstance.lock.Unlock()
	// This check prevents clobbering of capabilities that might've been set via SetForTests
	if capInstance.capabilities == nil {
		Initialize(Capabilities{
			AllowPrivileged: false,
			PrivilegedSources: PrivilegedSources{
				HostNetworkSources: []string{},
				HostPIDSources:     []string{},
				HostIPCSources:     []string{},
			},
		})
	}
	return *capInstance.capabilities
}
老卫带你学
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Authentication- IO Capabilities.cywrk.Archive01.zip
02-12
Authentication- IO Capabilities.cywrk.Archive01.zip
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3246
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
k8s中容器权限问题
qq_38814358的博客
11-09 5273
问题1 在容器内strace/gdb一个进程报错: operation not permitted 这涉及到ptrace系统调用的权限问题,默认容器是没有权限去ptrace进程的。 这个问题需要通过给容器提权才能解决,在K8S中需要给container级别增加如下选项: containers: - name: xxx image: xxx.com/php/zhongce_v2:a382ecfa39d16391bc91f2036437906ef97c875e-15530
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
2401_83620690的博客
05-15 262
最近很多小伙伴找我要Linux习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
yy1715713348的博客
07-21 502
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
保障K8s部署中的安全性
Free雅轩的博客
10-16 396
开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统。 Kubernetes是当前流行和常用的容器编排工具之一。Kubernetes工作负载就像简单的nginx服务器或cron作业一样执行的应用程序。Kubernetes部署成为了一种最常用的工作负载,因为它可以轻松更新、扩展和管理。 最近发布的Kubernetes Hardening指南是一个很好的资源,它提供了有关如何有效保护Kubernetes的指导。该指南提供的信息清楚地表明,保护和强化Kube
ALC-Challenge-Curverter:ALC 3.0移动Web专家挑战
05-09
调速器ALC 3.0移动Web专家挑战:创建具有脱机功能的货币转换器
in-house-capabilities
09-02
in-house-capabilities
Matlab - Introducing to Matlab and it's Graphics Capabilities.pdf
08-27
一本Matlab的好书,英文版,要下的兄弟们快动手哈,很值得仔细研究
ISAPI_2.0-PTZ Service.pdf
07-31
/ISAPI/PTZCtrl/channels/<ID>/capabilities 是 PTZ 服务的能力描述接口,用于描述 PTZ 设备的能力和性能。 4.6 /ISAPI/PTZCtrl/channels/<ID>/homeposition /ISAPI/PTZCtrl/channels/<ID>/homeposition 是 PTZ ...
k8s安全相关特性汇总
qq_22548549的博客
12-13 713
k8s安全相关特性汇总,securityContext, podSecurityPolicy和NetworkPolicy
Kubernetes对Container Capabilities的支持
weixin_34194379的博客
03-15 626
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes 中配置 Container Capabilities
weixin_41020960的博客
01-12 1315
我们在使用 Kubernetes 过程中,偶尔会遇到如下所示的一段配置: securityContext: capabilities: drop: - ALL add: - NET_BIND_SERVICE 实际上这是配置对应的容器的Capabilities,在我们使用docker run的时候可以通过--cap-add和--cap-drop命令来给容器添加Linux Capabilities。对于大部分同可能又要疑问Linux Capabili...
K8s安全总结
liukuan73的专栏
12-05 8813
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
Kubernetesk8s)最佳安全实践指南
Enweitech Software Works
11-27 1283
对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。为了更容易上手,我将它们总结成了几个最佳实践配置,大家看完了就可以开干了。当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。 1. 为容器配置 Sec
k8s 中使用 Kubevirt 运行管理 Windows 10 操作系统
云原生实验室
11-23 4956
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io前言最近我发现我的 Kubernetes 集群资源实在是太多了,有点浪费,不信你看:既然闲置资源那么多,那我...
k8s习--Kruise Rollouts 基本使用
最新发布
lwxvgdv的博客
06-19 1194
Kruise Rollouts 是由 OpenKruise 开发的 Kubernetes 拓展工具,专门设计用于管理应用部署和更新过程中的复杂需求。它提供了多种高级部署策略,旨在优化和控制 Kubernetes 应用程序的发布过程,使得可以更灵活、更安全地进行版本迭代和回滚。这个工具是对 Kubernetes 标准部署策略(如 RollingUpdate)的扩展和增强。总结来说,Kruise Rollouts 是 Kubernetes 生态中的一个重要拓展,适用于需要高度可控和自动化部署策略的复杂应用环境。
rep.Capabilities->Media->XAddr
06-08
rep.Capabilities 是 _tds__GetCapabilitiesResponse 结构体类型的变量 rep 的一个成员,表示 ONVIF 设备所支持的服务和功能列表。该成员是一个 tt__Capabilities 结构体类型的指针,表示设备的能力集。tt__Capabilities 结构体中包含了多个成员,包括 Media、PTZ、Device、Events 等,分别表示媒体服务、云台控制服务、设备信息服务、事件服务等。这些成员都是指向对应服务能力描述信息的结构体指针。 因此,rep.Capabilities->Media 表示获取 ONVIF 设备能力集中媒体服务的能力描述信息。而 XAddr 是 tt__MediaCapabilities 结构体类型的变量 Media 的一个成员,表示媒体服务的地址。因此,rep.Capabilities->Media->XAddr 可以获取 ONVIF 设备中媒体服务的地址。需要注意的是,以上代码的前提是 _tds__GetCapabilitiesResponse 中 Capabilities 成员的类型为 tt__Capabilities,且 Capabilities 中包含了 Media 服务的能力描述信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值