身份认证攻击........................................................................................35 2.6.4 权限滥用攻击........................................................................................35 2.6 攻击过程复现........................................................................................39 3.3k8s 权限提升攻击........................................................................................40 3.3 云原生运行时安全................................................................................56 4.2.3 网络微隔离........................................................................................... 58 4.3

容器。 容器除了运行其中应用外，基本不消耗额外的系统资源，使得应用的性能很高，同时系统的开销尽量小。 传统虚拟机方式运行 10 个不同的应用就要起 10 个虚拟机，而Docker 只需要启动 10 个隔离的应用即可。 具体说来，Docker 在如下几个方面具有较大的优势。 对开发和运维（devop）人员来说，最希望的就是一次创建或配置，可以在任意地方正常运行。 开发者可以使用一个标准的镜像来构 —— 从入门到实践 12 镜像 Docker 利用容器来运行应用。 容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全 的平台。 可以把容器看做是一个简易版的 Linux 环境（包括root用户权限、进程空间、用户空间和网络空间等）和运 行在其中的应用程序。 *注：镜像是只读的，容器在启动的时候创建一层可写层作为最上层。 Docker 容器 --without-ncurses $ make nsenter && sudo cp nsenter /usr/local/bin nsenter 可以访问另一个进程的名字空间。nsenter 要正常工作需要有 root 权限。 很不幸，Ubuntu 14.04 仍然使用的是 util-linux 2.20。安装最新版本的 util-linux（2.24）版，请按照以下步骤： $ wget https://www.kernel

记录网络策略事件 12.3. 创建网络策略 12.4. 查看网络策略 12.5. 编辑网络策略 12.6. 删除网络策略 12.7. 为项目定义默认网络策略 12.8. 使用网络策略配置多租户隔离 第 第 13 章 章 多网 多网络 络 13.1. 了解多网络 13.2. 配置额外网络 13.3. 关于虚拟路由和转发 13.4. 配置多网络策略 13.5. 将 POD 附加到额外网络 代理模式部署出口路由器 POD 15.11. 从配置映射配置出口路由器 POD 目的地列表 15.12. 为项目启用多播 15.13. 为项目禁用多播 15.14. 使用 OPENSHIFT SDN 配置网络隔离 15.15. 配置 KUBE-PROXY 第 第 16 章 章 OVN-KUBERNETES 默 默认 认 CNI 网 网络 络供 供应 应商 商 16.1. 关于 OVN-KUBERNETES Pod 必须通过将 pod spec 中的 spec.hostnetwork 字段设置为 true 来获得主机网络访问。 如果允许 pod 主机网络访问，则将授予 pod 对底层网络基础架构的访问权限。 1.1. OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod

等技术，对进程进行封装隔离，属于 操作 系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容 器。最初实现是基于 LXC，从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd。 Docker 在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等等，极 大的简化了容器的创建和维护。使得 名空间。因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间，甚 至自己的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一 个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安 全。也因为这种隔离的特性，很多人初学 Docker 时常常会混淆容器和虚拟机。 前面讲过镜像使用的是分层存储，容器也是如此。每一个容器运行时，是以镜像为基础层， WORKDIR 指令来指定）。目标路径不需要事先创建，如果目录不存在会在复制文件前先行 创建缺失目录。 此外，还需要注意一点，使用 COPY 指令，源文件的各种元数据都会保留。比如读、写、执 行权限、文件变更时间等。这个特性对于镜像定制很有用。特别是构建相关文件都在使用 Git 进行管理的时候。 COPY 复制文件 80 ADD 更高级的复制文件 ADD 指令和 COPY 的格式和性质基本一致。但是在

MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可 以重复使用这些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 集群 所需的权限。 您可以使用安装程序置备的基础架构方法，在 RHOSP、带有 Kuryr 的 RHOSP、RHV、vSphere 和 裸 机硬件环境中创建适当的机器实例。另外，对于 vSphere、VMC on Red Hat Quay 版本及其所需的组件。mirror registry for Red Hat OpenShift 会自动部署，带有预配置 的本地存储和本地数据库。它还包括自动生成的用户凭证和访问权限，其中只有一个输入集，且不需要额 外配置选项。 mirror registry for Red Hat OpenShift 提供了一个预先确定的网络配置，并在成功时报告部署的组件凭证 并访问 U 允许用户禁用颜色序列，在运行安装、卸载和升级命令时将其传播到 Ansible。 --pgStorage 保存 Postgres 持久性存储数据的文件夹。默认为 pg-storage Podman 卷。卸载 需要 root 权限。 --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须可以被

关于网络策略 22.2. 创建网络策略 22.3. 查看网络策略 22.4. 编辑网络策略 22.5. 删除网络策略 22.6. 为项目定义默认网络策略 22.7. 使用网络策略配置多租户隔离 第 第 23 章 章 CIDR 范 范围 围定 定义 义 23.1. MACHINE CIDR 23.2. SERVICE CIDR 23.3. POD CIDR 23.4. 主机前缀 第 代理模式部署出口路由器 POD 28.13. 从配置映射配置出口路由器 POD 目的地列表 28.14. 为项目启用多播 28.15. 为项目禁用多播 28.16. 使用 OPENSHIFT SDN 配置网络隔离 28.17. 配置 KUBE-PROXY 第 第 29 章 章 配置路由 配置路由 29.1. 路由配置 29.2. 安全路由 第 第 30 章 章 配置集群入口流量 配置集群入口流量 30 Pod 必须通过将 pod spec 中的 spec.hostnetwork 字段设置为 true 来获得主机网络访问。 如果允许 pod 主机网络访问，则将授予 pod 对底层网络基础架构的访问权限。 2.1. OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod

1. 删除网络策略 10.6. 为项目定义默认网络策略 10.6.1. 为新项目修改模板 10.6.2. 在新项目模板中添加网络策略 10.7. 使用网络策略配置多租户隔离 10.7.1. 使用网络策略配置多租户隔离 10.7.2. 后续步骤 41 42 43 45 46 46 47 47 48 49 50 50 50 50 52 52 52 53 54 57 57 OPENSHIFT SDN 默 默认 认 CNI 网 网络 络供 供应 应商 商 13.1. 关于 OPENSHIFT SDN 默认 CNI 网络供应商 13.1.1. OpenShift SDN 网络隔离模式 105 105 105 106 106 106 107 107 108 109 110 111 111 111 111 112 113 114 115 116 117 117 13.12.1. 关于多播 13.12.2. 启用 pod 间多播 13.13. 为项目禁用多播 13.13.1. 禁用 pod 间多播 13.14. 使用 OPENSHIFT SDN 配置网络隔离 140 140 141 141 142 142 143 144 144 146 146 146 147 147 147 148 149 149 149 149 150 150 150

AWS 控制台中的实例类型来更改 control plane 机器使用的 Amazon Web Services (AWS) 实例类型。 先决条件 先决条件 您可以使用修改集群的 EC2 实例所需的权限访问 AWS 控制台。 您可以使用具有 cluster-admin 角色的用户访问 OpenShift Container Platform 集群。 流程 流程 1. 打开 AWS 控制台并为 Pod，否则请不要将 worker 机器集扩展为 0。 先决条件 先决条件 安装 OpenShift Container Platform 集群和 oc 命令行。 以具有 cluster-admin 权限的用户身份登录 oc。 流程 流程 1. 编辑机器集： 2. 将机器缩减为 0: 或者： 提示 提示 您还可以应用以下 YAML 来扩展机器集： 等待机器被删除。 3. 根据需要扩展机器设置： Container Platform 4.10 可伸 可伸缩 缩性和性能 性和性能 68 安装 OpenShift Container Platform CLI（oc）。 以具有 cluster-admin 权限的用户身份登录。 安装 NUMA Resources Operator 并部署 NUMA 感知辅助调度程序。 流程 流程 1. 运行以下命令，验证 noderesourcetopologies

MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可以重复使用这 些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 集群所需的权限。 您可以使用安装程序置备的基础架构方法为 RHOSP, RHOSP with Kuryr, vSphere, 和裸机在硬件上创建适 当的机器实例。另外，对于 vSphere，您还可以在安装过程中自定义额外网络参数。 Red Hat Quay 版本及其所需的组件。mirror registry for Red Hat OpenShift 会自动部署，带有预配置 的本地存储和本地数据库。它还包括自动生成的用户凭证和访问权限，其中只有一个输入集，且不需要额 外配置选项。 mirror registry for Red Hat OpenShift 提供了一个预先确定的网络配置，并在成功时报告部署的组件凭证 并访问 U 允许用户禁用颜色序列，在运行安装、卸载和升级命令时将其传播到 Ansible。 --pgStorage 保存 Postgres 持久性存储数据的文件夹。默认为 pg-storage Podman 卷。卸载 需要 root 权限。 --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须可以被

8. 如故障隔离、熔断降级、限流限速等；在启⽤主动健康检查后，⽹关将⽀持智能跟踪不健康上游节点 的能⼒，并⾃动过滤不健康节点，以提⾼整体服务稳定性。 1.3
功能架构
API
⽹关主要包含了如下功能模块：
⽤⼾系统：借助⽤⼾系统，管理员将对系统内各个⽤⼾进⾏权限资源划分，⽤⼾不可越权访问资 源。⽀持账⼾密码登陆与
SSO
登陆；
• 权限系统：内置基于⻆⾊的权限管理系统（RB AC），管理员可借助控制台创建不同⻆⾊，通过将 ⽤⼾与⻆⾊绑定，可实现针对某类⽤⼾细粒度的权限管控； • 多租⼾（多⼯作分区）：⽀持基于⼯作分区隔离的多租⼾模型，管理员可创建不同的⼯作分区，并 指定哪些⽤⼾对⼯作分区有哪些资源的访问权限； • 多环境：⽀持多
ETCD
集群，集群之间数据不共享；
• ⾝份验证：包含多种认证类插件，如
basic-auth、jwt-auth、key- 够实现
HTTP
协议到后端服务其它协议的转换。API
⽹关对外暴露统⼀
HTTP
⼊⼝，管理员可通过 控制台界⾯完成协议转换设置，⽀持请求与后端服务的参数映射； • 服务治理：API7
⽀持熔断、限流、限速、IP
⿊⽩名单、故障隔离等能⼒，通过控制台可视化⾯ 板，可⽅便、清楚地完成相关功能设置； • ⾃定义插件：API7
内置了50多种插件，涵盖安全防护、流量控制、⽇志记录等各个分类，可满⾜ 绝⼤多数企业需求。对于特定