某天,

某鱼说要吃瞄,

于是......

李国宝:边缘计算k8s集群SuperEdge初体验



zhuanlan.zhihu.com

图标

照着上一篇文章来说,我这边边缘计算集群有一堆节点。

每个节点都在不同的网络环境下。

他们的共同点都是可以访问内网,

部分是某云学生主机,

部分是跑在家庭网络环境下的虚拟机,

甚至假设中还有一些是树莓派之类的机器。

所以他们另一个共同点是,基本都没有公网IP。

这样一来,我要实现远程登录到某些节点搞事的时候,

只有内网穿透这一条路子了。

使用frp进行内网穿透 - 少数派



sspai.com

图标

https://github.com/fatedier/frp



github.com

内网穿透倒没什么,在公司使用这货长期跑了两年垮大洋穿透也很稳定。

只是...

只是...

只是...

要一台台机器配置一次,要维护一个稳定的公网服务器作为桥接。

就是...麻烦了点。

然后想了下。

当前的kube superedge边缘计算集群本身就实现了4层和7层的内网穿透,

理论上直接使用它的能力也可以做到远程登录的。

于是开始研究了一下怎么实现在只有kubectl环境的机器上,

直接登录k8s容器集群的node节点。

搜了一波之后首先发现的是这个项目。

A kubectl plugin to SSH into Kubernetes nodes using a SSH jump host Pod



github.com

看描述和需求来说,完全符合我的要求。

$ kubectl krew install ssh-jump

照着教程配置好插件,装好环境之后实践了一下。

....

一切都好,就是连不上去。

蛋疼了...

接着又找了一波,发现了一个Redhat老哥的博客。

A consistent, provider-agnostic way to SSH into any Kubernetes node

完美。

我想要的就是这个。

看了下插件代码。luksa/kubectl-plugins看了下插件代码。

https://github.com/luksa/kubectl-plugins/blob/master/kubectl-ssh



github.com

#!/usr/bin/env bash

set -e

ssh_node() {

  node=$1

  if [ "$node" = "" ]; then

    node=$(kubectl get node -o name | sed 's/node\///' | tr '\n' ' ')

    node=${node::-1}

    if [[ "$node" =~ " " ]]; then

      echo "Node name must be specified. Choose one of: [$node]"

      exit 1

    else

      echo "Single-node cluster detected. Defaulting to node $node"

    fi

  fi

  pod=$(

    kubectl create -o name -f - <<EOF

apiVersion: v1

kind: Pod

metadata:

  generateName: ssh-node-

  labels:

    plugin: ssh-node

spec:

  nodeName: $node

  containers:

  - name: ssh-node

    image: busybox

    imagePullPolicy: IfNotPresent

    command: ["chroot", "/host"]

    tty: true

    stdin: true

    stdinOnce: true

    securityContext:

      privileged: true

    volumeMounts:

    - name: host

      mountPath: /host

  volumes:

  - name: host

    hostPath:

      path: /

  hostNetwork: true

  hostIPC: true

  hostPID: true

  restartPolicy: Never

EOF

  )

  deletePod() {

    kubectl delete $pod --wait=false

  }

  trap deletePod EXIT

  echo "Created $pod"

  echo "Waiting for container to start..."

  kubectl wait --for=condition=Ready $pod >/dev/null

  kubectl attach -it $pod -c ssh-node

}

ssh_pod() {

  # TODO: improve this

  if [ "$1" == "" ]; then

    echo "Pod name must be specified."

    exit 1

  fi

  kubectl exec -it "$@" bash || (

    echo "Running bash in pod failed; trying with sh"

    kubectl exec -it "$@" sh

  )

}

print_usage() {

  echo "Provider-agnostic way of opening a remote shell to a Kubernetes node."

  echo

  echo "Enables you to access a node even when it doesn't run an SSH server or"

  echo "when you don't have the required credentials. Also, the way you log in"

  echo "is always the same, regardless of what provides the Kubernetes cluster"

  echo "(e.g. Minikube, Kind, Docker Desktop, GKE, AKS, EKS, ...)"

  echo

  echo "You must have cluster-admin rights to use this plugin."

  echo

  echo "The primary focus of this plugin is to provide access to nodes, but it"

  echo "also provides a quick way of running a shell inside a pod."

  echo

  echo "Examples: "

  echo "  # Open a shell to node of a single-node cluster (e.g. Docker Desktop)"

  echo "  kubectl ssh node"

  echo

  echo "  # Open a shell to node of a multi-node cluster (e.g. GKE)"

  echo "  kubectl ssh node my-worker-node-1"

  echo

  echo "  # Open a shell to a pod"

  echo "  kubectl ssh pod my-pod"

  echo

  echo "Usage:"

  echo "  kubectl ssh node [nodeName]"

  echo "  kubectl ssh pod [podName] [-n namespace] [-c container]"

  exit 0

}

if [ "$1" == "--help" ]; then

  print_usage

fi

if [[ "$1" == node/* ]]; then

  ssh_node ${1:5}

elif [ "$1" == "node" ]; then

  ssh_node $2

elif [[ "$1" == pod/* ]]; then

  ssh_pod "$@"

elif [ "$1" == "pod" ]; then

  shift

  ssh_pod "$@"

else

  print_usage

fi

认真看了一下这个脚本。

直呼人才啊。

果然是玩Linux的老哥啊。

牛逼啊。

太牛逼了。

太有趣了。

额。

讲人话。

这个脚本使用busybox镜像启动了容器实例,

通过chroot到 /host + 把宿主机所有文件挂在到容器实例的方式,

实现了在容器实例直接对宿主机系统一对一“Copy”(可能表达不太准确),

进而实现直接在这个容器实例中操作宿主机的所有资源。

是的,所有资源。

是的,所有资源。

是的,所有资源。

着这里直接能看到其他程序的进程,

免密码直接操作其他用户的数据。

所谓,

这就是容器逃逸。

然后....

我们的目的确实也达到了。

通过这种方式确实可以直接实现登录任意一台k8s node节点,

再也不需要密码和授权。

总结。

很好玩。

不明镜像确实有风险。

这个世界一直都不太安全。

参考资料:

docker 容器逃逸漏洞(CVE-2020-15257)风险通告

容器逃逸技术概览 - DockOne.io

rambo1412:容器逃逸技术概览

利用容器逃逸实现远程登录k8s集群节点的更多相关文章

  1. k8s集群节点更换ip 或者 k8s集群添加新节点

    1.需求情景:机房网络调整,突然要回收我k8s集群上一台node节点机器的ip,并调予新的ip到这台机器上,所以有了k8s集群节点更换ip一说:同时,k8s集群节点更换ip也相当于k8s集群添加新节点 ...

  2. K8s 集群节点在线率达到 99.9% 以上,扩容效率提升 50%,我们做了这 3 个深度改造

    点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 | 张振(守辰) ...

  3. kubectl客户端工具远程连接k8s集群

    一.概述 一般情况下,在k8smaster节点上集群管理工具kubectl是连接的本地http8080端口和apiserver进行通讯的,当然也可以通过https端口进行通讯前提是要生成证书.所以说k ...

  4. 集群实战(2):K8S集群节点退出加入操作

    以下报错网上其实也可以找到并解决,但是偏零碎我只是根据自己的在使用中遇到的问题做个汇总. 文章目录 首先删掉节点 node重新加入 参考文档 首先删掉节点 注意:以下操作都是在master下操作. 一 ...

  5. k8s 集群 节点状态显示notready

    一般情况下 我们是在maste节点上安装网络插件的,然后在join node 节点,这样导致node节点可能无法加载到这些插件 使用 journalctl -f -u kubelet 显示如下内容 N ...

  6. k8s集群节点ping不通其他主机的ip

    文章目录 排查过程 本地宿主机网络检查 pod网络检查 tcpdump检查网络 检查flannel网卡 检查宿主机网卡 iptables检查 解决方法 测试环境服务出现问题,服务一直报错认证超时,检查 ...

  7. Kubernetes实战总结 - 阿里云ECS自建K8S集群

    一.概述 详情参考阿里云说明:https://help.aliyun.com/document_detail/98886.html?spm=a2c4g.11186623.6.1078.323b1c9b ...

  8. 强大多云混合多K8S集群管理平台Rancher入门实战

    @ 目录 概述 定义 为何使用 其他产品 安装 简述 规划 基础环境 Docker安装 Rancher安装 创建用户 创建集群 添加Node节点 配置kubectl 创建项目和名称空间 发布应用 偏好 ...

  9. China Azure中部署Kubernetes(K8S)集群

    目前China Azure还不支持容器服务(ACS),使用名称"az acs create --orchestrator-type Kubernetes -g zymtest -n kube ...

随机推荐

  1. Greenplum 性能优化之路 --(二)存储格式

    一.存储格式介绍 Greenplum(以下简称 GP)有2种存储格式,Heap 表和 AO 表(AORO 表,AOCO 表). Heap 表:这种存储格式是从 PostgreSQL 继承而来的,目前是 ...

  2. 个人微信公众号搭建Python实现 -个人公众号搭建-运行run方法的编写(14.3.3)

    @ 目录 1.主要逻辑 2.代码 关于作者 1.主要逻辑 使用的是flask服务器 就使用一个函数处理请求 第一个是验证服务器,返回微信服务器给的字符串就表示验证成功 第二是要处理微信服务器发送过来的 ...

  3. ctf/web源码泄露及利用办法

    和上一篇文章差不多,也算是对web源码泄露的一个总结,但是这篇文章更侧重于CTF 参考文章: https://blog.csdn.net/wy_97/article/details/78165051? ...

  4. 手把手教你搭饥荒专用服务器(五)—MOD自动下载安装(Windows+Linux)

    想了解更详细内容,请点击原文地址:https://wuter.cn/1985.html/ 饥荒专用服务器的mod设置总共有两种方法. 方法一 在本地游戏中更新mod,然后把mod上传到服务器,但是这种 ...

  5. [LeetCode]Subtree of Another Tree判断一棵树是不是另一棵树的子树

    将树序列化为字符串,空节点用符号表示,这样可以唯一的表示一棵树. 用list记录所有子树的序列化,和目标树比较. List<String> list = new ArrayList< ...

  6. .Net Core — 依赖注入

    在.NET Core 中 依赖注入Dependency-Injection)作为基础知识,在.Net Core中无处不在:这么重要的知识接下来就了解和在.Net Core中使用. 一.依赖注入 说到依 ...

  7. TurtleBot3 Waffle (tx2版华夫)(13)RC100遥控杆控制

    13.1.遥控器说明 使用ROBOTIS RC100的设置已经在ROS的OpenCR固件中,因此不需要安装必需软件包, 安装号即可使用. 13.2.遥控器的安装 1接线口穿过后壳的过孔. 2接线口连接 ...

  8. 基于Python的接口自动化实战-基础篇之pymysql模块操作数据库

    引言 在进行功能或者接口测试时常常需要通过连接数据库,操作和查看相关的数据表数据,用于构建测试数据.核对功能.验证数据一致性,接口的数据库操作是否正确等.因此,在进行接口自动化测试时,我们一样绕不开接 ...

  9. mysql事务-简介

    mysql事务 问题 概要 storage engine必须支持事务 事务根据隔离级别的不同,不同事务之间有不同的可见性 begin 或者 start transaction, 显式开启事务:comm ...

  10. 网页短信平台源码和开发功能介绍 思路和功能 G客短信平台

    G客短信源码介绍 (只介绍现有功能模块文字介绍配系统截图) 一:后台首页 ​ QQ:290615413 VX:290615413