K8S 中对 Windows 节点的利用

最新推荐文章于 2024-04-14 03:53:40 发布

原创

最新推荐文章于 2024-04-14 03:53:40 发布 · 1k 阅读

25 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #容器 #云原生 #k8s #windows

在许多组织中，所运行的很大一部分服务和应用是 Windows 应用。Windows 容器提供了一种封装进程和包依赖项的方式，从而简化了 DevOps 实践，令 Windows 应用程序同样遵从云原生模式，实际生产中存在很多这样的混合集群。

K8S后渗透横向节点与持久化隐蔽方式探索

K8S API访问控制之RBAC利用

之前两篇有关 K8S 的文章👆（点击文章查看），分别探索了对于 K8S 本身功能的利用、多种不同 RBAC 权限的利用，但是对于集群中 Windows 节点的情况下并未去研究，刚好近期 K8S 的一些漏洞是针对 Windows 节点。

漏洞概述

近期 kubernetes 中发现了漏洞 CVE-2023-3676，该漏洞可在集群中的 Windows 节点上创建 pod，并在节点上提权到管理员权限。

受影响的版本：

• kubelet <= v1.28.0
• kubelet <= v1.27.4
• kubelet <= v1.26.7
• kubelet <= v1.25.12
• kubelet <= v1.24.16

漏洞详情

该漏洞是一个典型的命令注入，由于节点上运行的 kubelet 是由本地最高权限即管理员权限，通过创建 pod 使用 kubelet 的权限以达到提权。

命令注入就是将用户提交的数据未经过滤或者过滤不严格，通过拼接将参数传入调用系统命令的函数调用处。

用户在集群中创建 pod 时，可以在主机和 pod 之间创建共享目录就是卷，卷主要用来多个 pod 共享文件，或者持久化容器生命周期内创建或修改的文件。

在 pod

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

杭州默安科技

关注关注

22
点赞
踩
25

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

红队攻防渗透技术实战流程：云安全之云原生安全：K8s搭建及节点漏洞利用

HACKONE的博客

05-21

1002

Kubernetes是一个开源的，用于编排云平台中多个主机上的容器化的应用，目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署，规划，更新，维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着，管理员可以加载一个微型服务，让规划器来找到合适的位置，同时，Kubernetes在系统提升工具以及人性化方面，让用户能够方便的部署自己的应用。随着越来越多企业开始上云的步伐，在攻防演练中常常碰到云相关的场景，例：公有云、私有云、混合云、虚拟化集群等。

windows环境下部署k8s

旭哥的博客

03-01

3127

5、打开浏览器，访问 Kubernetes Dashboard： http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/2、打开setting勾选启用k8s（参考了许多帖子，说需要预先下载镜像，直接勾选会被墙，应该是跟版本有关，目前使用的版本没有出现这类问题，只是确实会稍慢，如果需要加快可以先跳过勾选，先配置拉取镜像地址）执行完成后，开启代理。

参与评论您还未登录，请先登录后发表或查看评论

k8s windows

04-17

k8s windows

Windows部署K8S

weixin_45364386的博客

02-08

4835

Windows部署K8S参考链接官网部署文档在 Windows 上安装和设置 kubectl在你开始之前在 Windows 上安装 kubectl在 Windows 上使用 curl 安装 kubectl 二进制文件使用 Chocolatey 或 Scoop 在 Windows 上安装验证 kubectl 配置可选的 kubectl 配置和插件启用 shell 自动完成安装`kubectl convert`插件问题处理（相关组件安装）安装chocolatey工具安装minikube工具k8s安装实操步骤参

windows10下如何安装 k8s，避坑指南

w286554018的专栏

05-19

3224

初次学习k8s，怎么对于k8s进行管理，参考网上大部分文章都是使用Kubernetes Dashboard进行管理。但是参考网上的安装过程，却怎么也登录不了，简单记录下自己的踩坑经历及如何解决的。提示：以下是本篇文章正文内容，下面案例可供参考对于某些问题还是好实际动手的好，可能版本不同，处理的方式都不一样，记录一下。

公有云托管K8s服务百花齐放，企业如何统一纳管、便捷管理？

Rancher

12-04

549

正在美国拉斯维加斯举行的AWS re:Invent 2017大会上，亚马逊新发布的一系列计算及存储相关的功能中，最轰动容器领域，无非是AWS Fargate——一种无需管理服务器即可运行容器的服务，以及EKS（Elastic Container Service for Kubernetes），一个完全托管的Kubernetes服务。EKS的发布，意味着国际范围内三大最主要的云服务商——AWS、Az...

K8s集群中的Windows节点，这样搭建快速搞定！

alauda_andy的博客

04-08

1587

前言： K8s 1.14版增加了对windows节点的生产级支持，从1.9就有了对windows的实验性支持，灵雀云在多个客户环境有过实践，去除平台相关的内容后整理成文档，分享给大家。Docker在windows上可以选择Linux模式和Windows模式，两者不能兼容共存：选择linux模式时，pull windows类型镜像会提示平台不兼容，反过来也一样（仓库端是可以同时存放两种镜像的）...

k8s二进制单节点部署

Yusheng9527的博客

03-28

877

k8s二进制单节点部署常见的k8s部署方式Kubernetes二进制部署（单节点）环境准备部署etcd集群(这里就不在单独的服务器上部署，直接部署在各节点上，节省资源)下载证书制作工具利用etcd-cert.sh生成CA证书、etcd服务器证书以及私钥利用etcd.sh启动etcd1）解压etcd包2）创建用于存放etcd配置文件，命令文件，证书的目录3）编写etcd.sh启动etcd（先起一台，再scp）在master01节点上测试健康检查部署docker引擎（node节点上部署）flannel网络配置K

k8s之lens使用方式

06-30

### K8s之Lens使用详解 #### 一、引言随着Kubernetes（简称K8s）成为容器编排领域的主流...掌握其使用方法能够显著提高日常工作中对K8s集群的操作效率和管理能力。希望本文能帮助大家更好地利用Lens这款优秀的工具。

k8s-1.28.2的离线安装包

12-17

Kubernetes，又称为k8s，是一个开源的容器编排平台，它自动化容器化应用程序的部署、扩展和管理。在众多的容器编排工具中，Kubernetes因其强大的功能和广泛的支持，已经成为业界标准。 Kubernetes的核心设计思想是...

k8s-windows节点

Ftworld21的专栏

03-19

304

K8s集群中的Windows节点，这样搭建快速搞定！ - 腾讯云开发者社区-腾讯云

windows本地安装K8S

yiding123的专栏

11-19

1万+

一、安装docker desktop windows安装k8s ，首先需要安装docker，一般我们是安装docker desktop， Windows版的Docker Desktop 是社区版本，您可以从Docker Hub上直接下载，下载链接如下： Docker Hub 系统要求： 1、Windows 10 64位，专业版、企业版、教育版（15063或更高版本） 2、必须启用了Hyper-V和windows 容器特性硬件要求： 1、支持SLAT（Second Level Addr...

window轻松使用k8s （Docker Desktop安装）

04-14

6594

window轻松使用k8s分享

k8s windows节点

qq_22512457的博客

11-04

1107

k8s windows节点

windows 10 安装k8s环境 Kubernetes

ding43930053的专栏

05-24

1237

2、若要在本地计算机上运行您编写的未签名脚本和来自其他用户的签名脚本，请使用以下命令将计算机上的执行策略更改为 RemoteSigned。安装完成后，关闭窗口重新使用管理员打开PowerShell 执行下面这条命令安装minikube。是windows下的一个命令行的包管理工具，类似ubuntu的apt，或centos下的yum。使用管理员运行 PowerShell 执行下面这条命令。3、查看执行策略：get-ExecutionPolicy。1、搜索powershell，右键以管理员身份运行。

k8s集群基于windows 部署

xueshuai0922的博客

06-29

1404

2.2.1 版本统一 Docker 18.09.0 kubeadm-1.14.0-0 kubelet-1.14.0-0 kubectl-1.14.0-0 k8s.gcr.io/kube-apiserver:v1.14.0 k8s.gcr.io/kube-controller-manager:v1.14.0 k8s.gcr.io/kube-scheduler:v1.14.0 k8s.gcr.io/kube-proxy

Windows11下安装k8s

最新发布

05-21

### Kubernetes 双主节点架构设置与 Host Key Verification Failed 问题解决方案 #### 1. **Kubernetes 双主节点架构概述** 在高可用 (High Availability, HA) 架构下，通常需要部署两个或更多的主节点以确保集群的稳定性。双主节点架构可以通过以下组件实现： - 使用负载均衡器（如 Keepalived 或 MetalLB）分配流量至多个主节点。 - 部署 etcd 集群用于分布式存储元数据。 - 启用 kube-apiserver 的健康检查功能以支持动态切换。以下是具体的配置方法[^2]： --- #### 2. **双主节点架构的具体配置** ##### 2.1 主机命名与 hosts 文件配置为了便于识别各节点角色，需统一修改主机名并通过 `/etc/hosts` 实现基于主机名的解析。 ```bash # 修改主机名 hostnamectl set-hostname k8s-master1 && bash hostnamectl set-hostname k8s-master2 && bash hostnamectl set-hostname k8s-node1 && bash hostnamectl set-hostname k8s-node2 && bash # 编辑 /etc/hosts 文件 vi /etc/hosts ``` 添加如下内容： ```plaintext 192.168.145.153 k8s-master1 192.168.145.154 k8s-master2 192.168.145.155 k8s-node1 192.168.145.156 k8s-node2 ``` --- ##### 2.2 配置无密码 SSH 登录为了避免每次操作都需要输入密码，可启用 SSH 密钥认证并分发公钥到其他节点。 ```bash # 生成密钥对 ssh-keygen -t rsa -b 4096 -C "your_email@example.com" # 将公钥复制到各个节点 ssh-copy-id k8s-master1 ssh-copy-id k8s-master2 ssh-copy-id k8s-node1 ssh-copy-id k8s-node2 ``` 注意：如果出现 `Host key verification failed` 错误，请参见下一节解决办法。 --- ##### 2.3 时间同步为防止时间不同步引发问题，可在所有节点安装 NTP 并同步时间。 ```bash yum install ntpdate -y ntpdate time.windows.com ``` --- ##### 2.4 关闭防火墙和 SELinux 关闭不必要的安全防护措施以简化调试过程。 ```bash # 停止并禁用防火墙 systemctl stop firewalld && systemctl disable firewalld # 关闭交换分区 swapoff -a sed -i '/swap/d' /etc/fstab # 禁用 SELinux sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config setenforce 0 ``` --- ##### 2.5 配置 etcd 高可用集群 etcd 是 Kubernetes 存储核心数据的关键组件，推荐将其独立部署成三节点集群以提高可靠性。 ```yaml # 创建 etcd 配置文件 cat <<EOF | tee /etc/systemd/system/etcd.service [Unit] Description=etcd After=network.target [Service] Type=simple ExecStart=/usr/local/bin/etcd \ --data-dir=/var/lib/etcd \ --name=$(hostname) \ --initial-advertise-peer-urls=http://$(hostname):2380 \ --listen-peer-urls=http://0.0.0.0:2380 \ --advertise-client-urls=http://$(hostname):2379 \ --listen-client-urls=http://0.0.0.0:2379 \ --initial-cluster-token=etcd-cluster-1 \ --initial-cluster=k8s-master1=http://k8s-master1:2380,k8s-master2=http://k8s-master2:2380 \ --initial-cluster-state=new Restart=on-failure LimitNOFILE=65536 [Install] WantedBy=multi-user.target EOF ``` 启动服务： ```bash systemctl daemon-reload systemctl start etcd systemctl enable etcd ``` --- ##### 2.6 配置 kube-apiserver 负载均衡使用 Keepalived 和 haproxy 提供 VIP 支持，使外部请求能均匀分布到两台主节点上。 **Keepalived 配置示例**： ```plaintext vrrp_instance VI_1 { state MASTER interface eth0 virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass password } virtual_ipaddress { 192.168.145.200 } } ``` **haproxy 配置示例**： ```plaintext frontend k8s-api bind *:6443 mode tcp default_backend k8s-masters backend k8s-masters mode tcp balance roundrobin server master1 192.168.145.153:6443 check server master2 192.168.145.154:6443 check ``` --- #### 3. **解决 Host Key Verification Failed 问题** 当尝试通过 SSH 连接到某台服务器时，若其 ECDSA 公钥已变更而本地启用了严格模式 (`StrictHostKeyChecking=yes`)，则会出现此错误[^1]。解决方法如下： 1. 删除旧有记录： ```bash ssh-keygen -f "/root/.ssh/known_hosts" -R "192.168.55.187" ``` 2. 手动编辑 known_hosts 文件：若无法直接运行命令，可通过文本编辑器打开 `/root/.ssh/known_hosts`，找到对应的 IP 行并删除。 3. 自动化脚本清理：利用循环批量处理多台主机： ```bash for ip in $(cat ips.txt); do ssh-keygen -f "/root/.ssh/known_hosts" -R "$ip"; done ``` --- #### 4. **总结** 通过合理规划主节点职责分工以及引入必要的辅助工具和服务，可以构建稳定高效的 Kubernetes 双主节点架构。针对常见的 SSH 认证失败现象，采取及时更新本地缓存的方式即可轻松应对。 --- ###