在Kubernetes中通过 pod 打开 pod所在宿主机上的shell

昨日一伙计突然问我 在么把自己打好的 docker镜像 上传到 kubernetes 的 节点的 local 镜像池。

现状大约如下:

1)只有master节点的登录权限;

2)不知道存在哪些worker节点也无法通过 master 借助SSH 登录到 worker节点 (这点我很困惑,难道部署 Kubernetes 集群时不应该打通 部署节点【默认为master1】到其他节点的SSH免密登录吗?还是着就是一个ALL-IN-ONE的单节点集群?)

3)docker client 版本是 24.0.6 ,通过 registory 搭建私有docker镜像仓库 无法解决https协议问题。因为 docker client 没有配置使用 不安全的docker仓库;

4)客户那儿不可能给这个 Kubernetes 集群申请 公网IP或者二级域名,使用反向代理或者自谦证书后 会出现 X509 证书不受信问题。

这个问题的解决就两种途径:

要么把各节点上的 docker client 配置为使用 不安全的docker镜像仓库;

要么找一个具有公网IP或者域名的内网主机申请公共可信证书或者把自签证书配置到各节点上。

但经过试验,可以 通过 pod的 namespace 打开一个 PID 为 1 的shell,这个shell其实就是pod所在宿主机的root用户在其 namespace 中开启的一个 TTY 。这其实是 Kubernetes 中的一个提权漏洞,不知道在未来会不会进行修复。

nsenter 是一个 进入 namespace 的 工具,通用的 Linux OS 中都会含有这个工具。

相关推荐
荣光波比17 小时前
K8S(一)—— 云原生与Kubernetes(K8S)从入门到实践:基础概念与操作全解析
云原生·容器·kubernetes
Light6018 小时前
领码方案|微服务与SOA的世纪对话(6):组织跃迁——智能架构下的团队与文化变革
微服务·云原生·ddd边界·组织双生体·pod协同·文化仪式·ai自演进
hello_25018 小时前
k8s基础监控promql
云原生·容器·kubernetes
静谧之心21 小时前
在 K8s 上可靠运行 PD 分离推理:RBG 的设计与实现
云原生·容器·golang·kubernetes·开源·pd分离
Serverless 社区21 小时前
阿里云函数计算 AgentRun 全新发布,构筑智能体时代的基础设施
人工智能·阿里云·云原生·serverless·云计算
小马爱打代码1 天前
zookeeper:一致性原理和算法
分布式·zookeeper·云原生
1024find1 天前
Spark on k8s部署
大数据·运维·容器·spark·kubernetes
kura_tsuki1 天前
[Docker集群] Docker 容器入门
运维·docker·容器
能不能别报错2 天前
K8s学习笔记(十六) 探针(Probe)
笔记·学习·kubernetes
能不能别报错2 天前
K8s学习笔记(十四) DaemonSet
笔记·学习·kubernetes