Helm er pakkastjóri fyrir Kubernetes, eitthvað eins og apt-get
fyrir Ubuntu. Í þessari athugasemd munum við sjá fyrri útgáfu af stýri (v2) með stýrisþjónustunni sjálfgefið uppsett, þar sem við fáum aðgang að þyrpingunni.
Við skulum undirbúa þyrpinguna; til að gera þetta skaltu keyra skipunina:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Sýning
- Ef þú stillir ekki neitt til viðbótar, ræsir helm v2 stýrikerfisþjónustuna, sem hefur RBAC með fullum klasastjórnandaréttindum.
- Eftir uppsetningu í nafnrými
kube-system
birtisttiller-deploy
, og opnar einnig gátt 44134, bundið við 0.0.0.0. Þetta er hægt að athuga með telnet.
$ telnet tiller-deploy.kube-system 44134
- Nú geturðu tengst stýringarþjónustunni. Við munum nota stýristýringuna til að framkvæma aðgerðir í samskiptum við stýrisþjónustuna:
$ helm --host tiller-deploy.kube-system:44134 version
- Við skulum reyna að ná Kubernetes klasaleyndarmálum frá nafnarými
kube-system
:
$ kubectl get secrets -n kube-system
- Nú getum við búið til okkar eigið töflu, þar sem við munum búa til hlutverk með stjórnandaréttindum og úthluta þessu hlutverki á sjálfgefna þjónustureikninginn. Með því að nota táknið frá þessum þjónustureikningi fengum við fullan aðgang að þyrpingunni okkar.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- Nú hvenær
pwnchart
notaður hefur sjálfgefinn þjónustureikningur fullan stjórnunaraðgang. Við skulum athuga aftur hvernig á að fá leyndarmál frákube-system
kubectl get secrets -n kube-system
Árangursrík framkvæmd þessa handrits fer eftir því hvernig tiler var sett upp; stundum setja stjórnendur það í sérstakt nafnrými með mismunandi réttindi. Helm 3 er ekki viðkvæmt fyrir slíkum veikleikum vegna þess að... það er enginn stýrimaður í honum.
Athugasemd þýðanda: Notkun netstefnu til að sía umferð í klasa hjálpar til við að verjast þessari tegund veikleika.
Heimild: www.habr.com