云安全—kubelet攻击面

0x00 前言

虽然说总结的是kubelet的攻击面，但是在总结攻击面之前还是需要去了解kubelet的基本原理，虽然说我们浅尝即止，但是还是要以能给别人讲出来为基本原则。

其他文章:

0x01 kubelet

先来抛出几个问题，然后一个一个挨着进行解释。

什么是kubelet
kubelet 多端口作用
kubelet 的运行机制

1.什么是kubelet

Kubelet 是 kubernetes 工作节点上的一个代理组件，运行在每个节点上。Kubelet是工作节点上的主要服务，定期从kube-apiserver组件接收新的或修改的Pod规范，并确保Pod及其容器在期望规范下运行。同时该组件作为工作节点的监控组件，向kube-apiserver汇报主机的运行状况。

简而言之，kubelet是一个监视器，去监控pod的运行状态。相当于健康管家。

2.kubelet 多端口作用

kubelet有四个端口，分别是10250，10255，10248，4194

10250 核心API接口

此端口是kubelet和K8S API Server进行交互的接口，会定期的向K8S API Server请求查看自己需要处理的任务，可以通过此接口获取到node资源。kubectl查看pod相关资源都是通过kubelet去进行获取的。也就是说如果这个接口存在未授权的话，相当于pod节点权限的丢失。

10255 非安全端口

注意这个接口是只读的接口，用于监控pod节点的资源状态，这个端口未授权或者暴露的话，攻击者可以通过此接口获取敏感信息。

10248 健康检测端口

主要检测kubelet 是否正常工作

4194 cAdvisor 监听端口

cAdvisor 是谷歌公司用来分析运行中的 Docker 容器的资源占用以及性能特性的工具。

获取到该节点的环境信息以及 node 上运行的容器状态等内容

3. kubelet 的运行

pod状态更改kubelet的运行过程：

首先获取pod列表，通过kubelet的接口去判断此pod是在哪一个节点上进行启动，其实从侧面可以体现出kubelet拥有mode以及pod的所有权限才可以做此操作。
创建pod，会根据pod的配置文件对pod进行初始化创建。
监控状态，当pod创建完成之后，由kubelet对pod进行健康状态的监控。如果pod出现问题就会通知k8s master节点，进行状态的更新，这也是通过info去查看的时候显示的数据的来源。猜测有两种方式，一种是内存数据库，一种是实体数据库，或者直接就是消息队列进行数据同步。
pod删除，当pod需要删除的时候，也是通过kubelet进行删除操作，并且由kubelet将数据等内容从node上进行清楚，再进行数据同步操作。

kubelet的监控内容可以参考：https://www.kancloud.cn/pshizhsysu/prometheus/1868378