API Server 代理到 Kubelet 的高权限 websocket 连接。 2. 利用高权限 websocket 连接，向 Kubelet 发起/runningpods/请求，获 得当前活动 Pod 列表。 3. 从活动 Pod 列表中找到 k8s API Server 的 Pod 名称。 4. 利用高权限 websocket 连接，向 Kubelet 发起/exec 请求，指定 Pod 参数，从返回结果中保存窃取到的文件。 5. 利用高权限 websocket 连接，向 Kubelet 发起/exec 请求，指定 Pod 为上一步中获得的 Pod 名称，携带“利用 cat 命令读取 ‘apiserver-kubelet-client.crt’”作为参数，从返回结果中保存窃取到 的文件。 云原生安全威胁分析与能力建设白皮书 42 6. 利用高权限 websocket 连接，向 Kubelet 发起/exec 三个参数，该代码中构造的错误 请求/api/v1/namespaces/{namespace}/pods/{pod}/exec 未包含对应的参 数，由此利用系统漏洞代理到 Kubelet 的高权限 websocket 连接[28]。 3.4Istio 认证策略绕过攻击 3.4.1 攻击场景介绍 Istio 目前已作为微服务治理框架的代表，在 Istio 中 JWT 认证策略通常通 过配置一个 YAML

NODE服务会监视DOCKERD进程，观察其创建与销毁容器。获取⽂件系统中容器⽇志的路径，
 监视来⾃容器标准输出和标准错误输出，并以UDP协议分发到RBD-EVENTLOG组件。 接收来⾃NODE服务的推送，⽤WEBSOCKET协议将⽇志内容推送到⽤户所操作的应⽤控制台。 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 1.3 实际配置