认知1、laas的模式
基础设施即服务 (IaaS) 是一种商业模式,通过互联网以即用即付的方式提供计算、存储和网络资源等 IT 基础设施。您可以使用 IaaS 请求和配置运行应用程序和 IT 系统所需的资源。您负责部署、维护和支持应用程序,IaaS 提供商负责维护物理基础设施。基础设施即服务能让您灵活使用,还能经济高效地控制 IT 资源。
https://aws.amazon.com/cn/what-is/iaas/#:~:text=%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E5%8D%B3%E6%9C%8D%E5%8A%A1%20%28IaaS%29%20%E6%98%AF%E4%B8%80%E7%A7%8D%E5%95%86%E4%B8%9A%E6%A8%A1%E5%BC%8F%EF%BC%8C%E9%80%9A%E8%BF%87%E4%BA%92%E8%81%94%E7%BD%91%E4%BB%A5%E5%8D%B3%E7%94%A8%E5%8D%B3%E4%BB%98%E7%9A%84%E6%96%B9%E5%BC%8F%E6%8F%90%E4%BE%9B%20%E8%AE%A1%E7%AE%97%20%E3%80%81%E5%AD%98%E5%82%A8%E5%92%8C%E7%BD%91%E7%BB%9C%E8%B5%84%E6%BA%90%E7%AD%89%20IT%20%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E3%80%82,%E6%82%A8%E5%8F%AF%E4%BB%A5%E4%BD%BF%E7%94%A8%20IaaS%20%E8%AF%B7%E6%B1%82%E5%92%8C%E9%85%8D%E7%BD%AE%E8%BF%90%E8%A1%8C%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%92%8C%20IT%20%E7%B3%BB%E7%BB%9F%E6%89%80%E9%9C%80%E7%9A%84%E8%B5%84%E6%BA%90%E3%80%82%20%E6%82%A8%E8%B4%9F%E8%B4%A3%E9%83%A8%E7%BD%B2%E3%80%81%E7%BB%B4%E6%8A%A4%E5%92%8C%E6%94%AF%E6%8C%81%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%EF%BC%8CIaaS%20%E6%8F%90%E4%BE%9B%E5%95%86%E8%B4%9F%E8%B4%A3%E7%BB%B4%E6%8A%A4%E7%89%A9%E7%90%86%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E3%80%82认知2、laas的公司
IaaS有时候也叫做Hardware-as-a-Service。在实际应用中,简单来说就是IaaS公司会提供场外服务器,存储和网络硬件,你可以租用。节省了维护成本和办公场地,公司可以在任何时候利用这些硬件来运行、推出其产品。IaaS发展到今天,你甚至可以将硬件外包出去。
像Amazon, Microsoft, VMWare, Rackspace等公司就是典型的LaaS公司。然而这些各家公司又都有各自专长的方向,比如Amazon和Microsoft提供的不只是IaaS服务,他们还会将计算能力出租给客户,保证客户能host其网站。
一文看懂LaaS、PaaS、SaaS-腾讯云开发者社区-腾讯云 (tencent.com)
认知3、什么是OpenStack
OpenStack是什么? OpenStack是一个云操作系统,通过数据中心可控制大型的计算、存储、网络等资源池。所有的管理通过前端界面管理员就可以完成,同样也可以通过web接口让最终用户部署资源。
OpenStack是基础设施即服务(IaaS)软件,让任何人都可以自行创建和提供云计算服务。
此外,OpenStack也用作创建防火墙内的"私有云"(Private Cloud),提供机构或企业内各部门共享资源。
OpenStack 的目标是提供简单实施、 可扩展以及丰富的功能集的云产品, 来自全世界的云计算专家共同维护该云项目。 OpenStack 通过多种补充服务提供了 IaaS 解决方案,每一种服务均提供了相应的应用程序接口(Application Programming Interface, 简称 API),以促进各组件之间的整合;
OpenStack 被用来提供公有云以及私有云的建设以及管理。 作为一个开源项目, 其社区规模涵盖 130 家企业以及 1350 位开发人员。这些机构与个人都将 OpenStack 作为 IaaS 资源的通用前端;
OpenStack 覆盖了网络、 虚拟化、 操作系统、 服务器等各个方面。 一般情况下, 每半年左右更新一次版本。
什么是Openstack?OpenStack核心服务及模块的详细介绍_openstack是什么-优快云博客
认知4:当你遇到openstack,你要知道的策略
-
一般政务云租户管理端都会对外开放,所以从正面也是最为直接的方式。
-
在内网中端口查找关于用keystone 5000端口或者其它组件相应的端口查找管理网段。
-
一般情况是虚拟主机是无法到达管理网段,已做逻辑隔离。
-
管理网络,openstack管理网
-
内部网络,内部数据库、nova、之间的通讯
-
共有网络,虚拟主机
-
攻击策略:
Ø 网络暴露:管理控制台,弱口令、高危漏洞
Ø 网络暴露:API 接口,未授权访问、越权、高危漏洞
Ø 网络暴露:三方组件引入的接口
Ø 网络暴露:容器服务
Ø 网络暴露:运营/运维服务
Ø OpenStack 部署在企业的业务生产网,云的底座网络、物理设备与业务网络在同一安全域,物理设备的监控和管理可横向攻击
Keystone API爆破,一般keystone就是控制面板密码
场景:
控制台权限场景
某政务云案例:
搜索引擎 —> 某省政务外网 —> 政务云平台,3A认证,基于Openstack二次开发,存在Shiro反序列化漏洞 —> 获取openstack云平台系统root权限 —> 网卡信息可跨(172,10,192)网段 —> 通过翻取系统任务计划,发现运维脚本,脚本中存储了云平台节点所有帐号密码(获取294云节点服务器权限)—> 再通过翻取系统配置文件,登录云平台数据库,获取云平台所有帐号密码(获取519个SSO帐号密码)—> 可控制某省政务云单位500+ —> 通过翻取系统文件获得Zabbix Server监控系统(9个)—> 控制openstack云平台,可控制1400+云主机权限,影响整个省政务单位,完全控制某政务云。
OpenStack渗透场景 | 云安全攻防入门 (gitbook.io)
认知5:慢认知图
什么是Openstack?OpenStack核心服务及模块的详细介绍_openstack是什么-优快云博客
来源:[云计算]OpenStack这一篇就够了! - SkyBiuBiu - 博客园 (cnblogs.com)
认知6:简单部署
也可以用docker搭建
(openstack搭建)openstack云平台部署-详细完整教程 - 智杰 - 博客园 (cnblogs.com)
认知7:模拟登录openstack
会逐渐熟悉
查看openstack服务状态命令_mob649e81586edc的技术博客_51CTO博客
认知8:openstack的镜像服务
再Openstack中,Glance主要提供镜像服务,虚拟机的创建需要Glance的支持。Glance有Glance-api和Glance-Registry两个重要服务,其中Glance-api主要接受云系统镜像的构建、删除和读取请求,Glance-Registry主要进行云镜像系统的注册服务。
Glance不需要配置消息队列,但是Glance需要配置Keystone认证中心,在默认情况下,Glance将上传的镜像存放在/var/lib/glance/images/目录下。
Glance支持多种镜像格式,包括raw、vhd、vhdx、vmdk、vdi、iso、qcow2、aki、ami等。
Glance-Registry负责与MySQL数据库交互,监听9191端口,用于存储或者获取镜像的元数据,并提供元数据相关的REST接口。Glance-Registry的数据库中有两张表,一张是image表,保存了镜像的格式和大小等信息;另一张是image property表,保存了镜像的定制化信息。
Image Store是一个存储的接口层,glance通过该接口获取镜像。Image Store本身支持Amazon的S3、Openstack的Swift、Ceph、sheepdog、ClusterFS等多种分布式存储。需要注意的是,Image Stoge主要是镜像保存与获取的接口,仅仅是一个接口层,具体的实现还需要外部存储支持。
原文链接:https://blog.youkuaiyun.com/weixin_40228200/article/details/125118744
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
