🥇 હેલ્મ v2 ટીલરનો ઉપયોગ કરીને કુબરનેટ્સ ક્લસ્ટરને તોડવું

હેલ્મ કુબરનેટ્સ માટે પેકેજ મેનેજર છે, કંઈક આવું apt-get ઉબુન્ટુ માટે. આ નોંધમાં આપણે ડિફૉલ્ટ રૂપે ઇન્સ્ટોલ કરેલ ટિલર સેવા સાથે હેલ્મ (v2) નું પાછલું સંસ્કરણ જોઈશું, જેના દ્વારા આપણે ક્લસ્ટરને ઍક્સેસ કરીશું.

ચાલો ક્લસ્ટર તૈયાર કરીએ; આ કરવા માટે, આદેશ ચલાવો:

kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash

પ્રદર્શન

જો તમે કંઈપણ વધારાનું રૂપરેખાંકિત ન કરો, તો હેલ્મ v2 ટીલર સેવા શરૂ કરે છે, જેમાં સંપૂર્ણ ક્લસ્ટર એડમિનિસ્ટ્રેટર અધિકારો સાથે RBAC છે.
નેમસ્પેસમાં ઇન્સ્ટોલેશન પછી kube-system દેખાય છે tiller-deploy, અને પોર્ટ 44134 પણ ખોલે છે, જે 0.0.0.0 સાથે બંધાયેલ છે. આને ટેલનેટનો ઉપયોગ કરીને ચકાસી શકાય છે.

$ telnet tiller-deploy.kube-system 44134

હવે તમે ટીલર સેવા સાથે જોડાઈ શકો છો. ટિલર સેવા સાથે વાતચીત કરતી વખતે અમે કામગીરી કરવા માટે સુકાન બાઈનરીનો ઉપયોગ કરીશું:

$ helm --host tiller-deploy.kube-system:44134 version

ચાલો નેમસ્પેસમાંથી કુબરનેટ્સ ક્લસ્ટરના રહસ્યો મેળવવાનો પ્રયાસ કરીએ kube-system:

$ kubectl get secrets -n kube-system

હવે અમે અમારો પોતાનો ચાર્ટ બનાવી શકીએ છીએ, જેમાં અમે એડમિનિસ્ટ્રેટર અધિકારો સાથેની ભૂમિકા બનાવીશું અને આ ભૂમિકાને ડિફોલ્ટ સેવા ખાતામાં સોંપીશું. આ સેવા ખાતામાંથી ટોકનનો ઉપયોગ કરીને, અમને અમારા ક્લસ્ટરની સંપૂર્ણ ઍક્સેસ પ્રાપ્ત થઈ છે.

$ helm --host tiller-deploy.kube-system:44134 install /pwnchart

હવે જ્યારે pwnchart તૈનાત, ડિફૉલ્ટ સેવા ખાતામાં સંપૂર્ણ વહીવટી ઍક્સેસ છે. ચાલો ફરીથી તપાસ કરીએ કે રહસ્યો કેવી રીતે મેળવવી kube-system

kubectl get secrets -n kube-system

આ સ્ક્રિપ્ટનો સફળ અમલ એ ટીલરને કેવી રીતે તૈનાત કરવામાં આવ્યો હતો તેના પર આધાર રાખે છે; કેટલીકવાર સંચાલકો તેને અલગ વિશેષાધિકારો સાથે અલગ નેમસ્પેસમાં ગોઠવે છે. હેલ્મ 3 આવી નબળાઈઓ માટે સંવેદનશીલ નથી કારણ કે... તેમાં કોઈ ટીલર નથી.

અનુવાદકની નોંધ: ક્લસ્ટરમાં ટ્રાફિકને ફિલ્ટર કરવા માટે નેટવર્ક નીતિઓનો ઉપયોગ આ પ્રકારની નબળાઈઓ સામે રક્ષણ કરવામાં મદદ કરે છે.

સોર્સ: www.habr.com

હેલ્મ v2 ટીલરનો ઉપયોગ કરીને કુબરનેટ્સ ક્લસ્ટરને તોડવું

પ્રદર્શન

એક ટિપ્પણી ઉમેરો જવાબ રદ