您的当前位置：首页十七、临时容器kubectl debug

十七、临时容器kubectl debug

来源：测品娱乐

临时容器

一、从镜像角度看容器安全

传统架构，黑客进来，提权后，会直接操作应用，危险。

K8S，黑客从pod入侵，通过pod渗透到K8S集群，被入侵会被当做矿机，被植入sidecar

所以生产中尽量不用root账户，并且pod没有bash和sh。

二、临时容器

生产pod不建议开启bash和sh，以及其他危险工具wget等。

所以可以给pod临时注入容器，运行相关检查工具。

三、开启临时容器

1.25+不需要开启

以下命令只是1.25以下的版本需要开启

所有节点都要改

### 二进制安装，开启命令
# vi /usr/lib/systemd/system/kube-apiserver.service 
--feature-gates=EphemeralContainers=true

# vi /usr/lib/systemd/system/kube-controller-manager.service 
--feature-gates=EphemeralContainers=true

# vi /usr/lib/systemd/system/kube-scheduler.service 
--feature-gates=EphemeralContainers=true

# vi /usr/lib/systemd/system/kube-proxy.service 
--feature-gates=EphemeralContainers=true

# vi /etc/kubernetes/kubelet-conf.yml
featureGates:
  EphemeralContainers: true

#重启所有服务
kube-spiserver、kubelet


###kubeadmin安装，开启命令
kubeadm:
# vi /etc/kubernetes/manifests/kube-apiserver.yaml
--feature-gates=Ephemer

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文