हेल्म कुबेरनेट्स के लिए एक पैकेज मैनेजर है, कुछ इस तरह apt-get
उबंटू के लिए. इस नोट में हम डिफ़ॉल्ट रूप से स्थापित टिलर सेवा के साथ हेल्म (v2) का पिछला संस्करण देखेंगे, जिसके माध्यम से हम क्लस्टर तक पहुंचेंगे।
आइए क्लस्टर तैयार करें; ऐसा करने के लिए, कमांड चलाएँ:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
प्रदर्शन
- यदि आप कुछ भी अतिरिक्त कॉन्फ़िगर नहीं करते हैं, तो हेल्म v2 टिलर सेवा शुरू करता है, जिसमें पूर्ण क्लस्टर व्यवस्थापक अधिकारों के साथ RBAC है।
- नेमस्पेस में इंस्टालेशन के बाद
kube-system
प्रतीत होता हैtiller-deploy
, और 44134 से बंधा पोर्ट 0.0.0.0 भी खोलता है। इसे टेलनेट का उपयोग करके जांचा जा सकता है।
$ telnet tiller-deploy.kube-system 44134
- अब आप टिलर सेवा से जुड़ सकते हैं। टिलर सेवा के साथ संचार करते समय संचालन करने के लिए हम हेल्म बाइनरी का उपयोग करेंगे:
$ helm --host tiller-deploy.kube-system:44134 version
- आइए नेमस्पेस से कुबेरनेट्स क्लस्टर रहस्य प्राप्त करने का प्रयास करें
kube-system
:
$ kubectl get secrets -n kube-system
- अब हम अपना स्वयं का चार्ट बना सकते हैं, जिसमें हम व्यवस्थापक अधिकारों के साथ एक भूमिका बनाएंगे और इस भूमिका को डिफ़ॉल्ट सेवा खाते को सौंपेंगे। इस सेवा खाते से टोकन का उपयोग करके, हमें अपने क्लस्टर तक पूर्ण पहुंच प्राप्त हुई।
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- अब जब
pwnchart
तैनात, डिफ़ॉल्ट सेवा खाते में पूर्ण प्रशासनिक पहुंच होती है। आइए फिर से जांचें कि रहस्य कैसे प्राप्त करेंkube-system
kubectl get secrets -n kube-system
इस स्क्रिप्ट का सफल निष्पादन इस बात पर निर्भर करता है कि टिलर को कैसे तैनात किया गया था; कभी-कभी प्रशासक इसे विभिन्न विशेषाधिकारों के साथ एक अलग नामस्थान में तैनात करते हैं। हेल्म 3 ऐसी कमजोरियों के प्रति संवेदनशील नहीं है क्योंकि... इसमें कोई टिलर नहीं है.
अनुवादक का नोट: क्लस्टर में ट्रैफ़िक को फ़िल्टर करने के लिए नेटवर्क नीतियों का उपयोग करने से इस प्रकार की कमजोरियों से बचाने में मदद मिलती है।
स्रोत: www.habr.com