ברייקינג אַ קובערנעטעס קנויל ניצן העלם וו 2 טילער

העלם איז אַ פּעקל פאַרוואַלטער פֿאַר Kubernetes, עפּעס ווי apt-get פֿאַר ובונטו. אין דעם טאָן מיר וועלן זען די פריערדיקע ווערסיע פון ​​העלם (v2) מיט די טיללער סערוויס אינסטאַלירן דורך פעליקייַט, דורך וואָס מיר וועלן אַקסעס די קנויל.

לאָמיר צוגרייטן דעם קנויל; צו טאָן דאָס, לויפן די באַפֿעל:

kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash

דעמאָנסטראַציע

• אויב איר טאָן ניט קאַנפיגיער עפּעס נאָך, העלם וו 2 סטאַרץ די טילער דינסט, וואָס האט RBAC מיט פול קנויל אַדמיניסטראַטאָר רעכט.
• נאָך ייַנמאָנטירונג אין נאַמעספּייס kube-system appears tiller-deploy, און אויך עפענען פּאָרט 44134, געבונדן צו 0.0.0.0. דעם קענען זיין אָפּגעשטעלט מיט טעלנעט.

$ telnet tiller-deploy.kube-system 44134

• איצט איר קענען פאַרבינדן צו די טילער דינסט. מיר וועלן נוצן די רודער ביינערי צו דורכפירן אַפּעריישאַנז ווען קאַמיונאַקייטינג מיט די טילער דינסט:

$ helm --host tiller-deploy.kube-system:44134 version

• לאָמיר פּרובירן צו באַקומען די Kubernetes קנויל סיקריץ פֿון נאַמעספּייס kube-system:

$ kubectl get secrets -n kube-system

• איצט מיר קענען מאַכן אונדזער אייגן טשאַרט, אין וואָס מיר וועלן מאַכן אַ ראָלע מיט אַדמיניסטראַטאָר רעכט און באַשטימען דעם ראָלע צו די פעליקייַט דינסט חשבון. מיט דעם סימען פון דעם סערוויס חשבון, מיר באקומען פול אַקסעס צו אונדזער קנויל.

$ helm --host tiller-deploy.kube-system:44134 install /pwnchart

• איצט ווען pwnchart דיפּלויד, די פעליקייַט דינסט חשבון האט פול אַדמיניסטראַטיווע אַקסעס. זאל ס טשעק ווידער ווי צו באַקומען סיקריץ פון kube-system

kubectl get secrets -n kube-system

געראָטן דורכפירונג פון דעם שריפט דעפּענדס אויף ווי טילער איז געווען דיפּלויד; מאל אַדמיניסטראַטאָרס צעוויקלען עס אין אַ באַזונדער נאַמעספּאַסע מיט פאַרשידענע פּריווילאַדזשאַז. העלם 3 איז נישט סאַסעפּטאַבאַל צו אַזאַ וואַלנעראַביליטיז ווייַל ... ס'איז נישטא אין אים קײן שטײגער.

איבערזעצער'ס נאטיץ: ניצן נעץ פּאַלאַסיז צו פילטער פאַרקער אין אַ קנויל העלפּס באַשיצן קעגן דעם טיפּ פון וואַלנעראַביליטיז.

מקור: www.habr.com