K8s污点容忍度横向主节点

最新推荐文章于 2024-09-03 09:31:05 发布
最新推荐文章于 2024-09-03 09:31:05 发布
阅读量351 收藏
点赞数
文章标签: 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40418457/article/details/125311021
版权

污点 节点亲和性 容忍度

污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点。在普通节点横向时我们可以使用污点容忍度创建恶意pod来对主节点进行横向控制。

1、kube-scheduler调度

kube-schedulerKubernetes 集群的默认调度器,并且是集群控制面(master)的一部分。对每一个新创建的Pod或者是未被调度的Pod,kube-scheduler会选择一个最优的Node去运行这个Pod。

然而,Pod内的每一个容器对资源都有不同的需求,而且Pod本身也有不同的资源需求。因此,Pod在被调度到Node上之前,根据这些特定的资源调度需求,需要对集群中的Node进行一次过滤。

如下为在创建pod的流程中,调度器的作用:

当创建pod时候,会首先把创建的命令请求提交给apiserver,通过一系列认证授权,apiserver把pod数据存储到etcd,创建deployment资源并初始化。然后再是scheduler通过进行list-watch机制进行监测,经过调度算法把pod调度到某个node节点上,最后信息更新到etcd,再后面就是kubelet接受信息到创建容器。

1654856204-730990-image

2、哪些因素影响调度

1.pod资源限制

当前调度器选择适当的节点时,调度程序会检查每个节点是否有足够的资源满足 Pod 调度,比如查看CPU和内存限制是否满足:

1654856218-318825-image

通过资源限制调度程序可确保由于过多 Pod 竞争消耗节点所有可用资源,从而导致节点资源耗尽引起其他系统异常。

2.节点选择器nodeSelector

在创建pod的时候,节点选择器可以约束pod在特定节点上运行。

nodeSelector 也是节点选择约束的最简单推荐形式,nodeSelector 字段添加到 Pod 的规约中设置希望目标节点所具有的节点标签。 K8s 只会将 Pod 调度到拥有你所指定的每个标签的节点上。 1654856233-741326-image

例子, 比如多个节点需要调度时候࿰

最低0.47元/天 解锁文章
火线安全
关注
红队攻防渗透技术实战流程:云安全之云原生安全:K8s污点横向移动
HACKONE的博客
05-22 515
污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,是k8s集群默认给master节点加的Taints(污点)这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system。攻击者在获取到node节点的权限后,可以通过kubectl来创建一个能够容忍master主节点的污点的Pod,当该Pod被成功创建到Master上之后,攻击者可以通过在子节点上操作该Pod实现对主节点的控制。
【Kubernetes】Kubernetes的污点和容忍度
wjianwei666的专栏
09-25 358
K8S中,如果Pod能容忍某个节点上的污点,那么Pod就可以调度到该节点。如果不能容忍,那就无法调度到该节点。
K8S 污点和容忍度(Taint,Toleration)
小五
04-17 2170
在 Kubernetes 中,污点(Taints)和容忍度(Tolerations)是用于节点调度的一种机制,它们允许你控制哪些 Pod 能够调度到哪些节点上。
K8S后渗透横向节点与持久化隐蔽方式探索
qq_18209847的博客
01-12 565
通过前文探索,对于较为的隐蔽的ns可以利用kube-system,在该ns下kube-proxy又是特别好拿来利用的,他本身就是DaemonSet在每一个节点上都有一Pod,并且是每一个集群最基本默认就存在的,并且经过测试,该Pod使用的环境中虽然条件苛刻,但是自带perl可以用来反弹,并且该Pod默认开启了多项Linux Capabilities可以直接逃逸到宿主机。根据对Lease研究知道,首先这个东西起码要可以执行命令,通过继续对Kubernetes的不断探索,发现了一个叫做容器探针的东西。
K8S(七)—污点、容忍
qq_51010919的博客
12-13 1376
污点是一种节点级别的属性,它告诉Kubernetes哪些节点不适合运行特定类型的Pod。节点上的污点可以阻止Pod被调度到不适合的节点上。
k8s 污点和容忍
看,未来的博客
09-25 3705
在 Kubernetes 中,节点亲和性 NodeAffinity 是 Pod 上定义的一种属性,能够使 Pod 按我们的要求调度到某个节点上,而 Taints(污点) 则恰恰相反,它是 Node 上的一个属性,可以让 Pod 不能调度到带污点的节点上,甚至会对带污点节点上已有的 Pod 进行驱逐。当然,对应的 Kubernetes 可以给 Pod 设置 Tolerations(容忍) 属性来让 Pod 能够容忍节点上设置的污点,这样在调度时就会忽略节点上设置的污点,将 Pod 调度到该节点。
关于k8s集群的污点和容忍,以及k8s集群的故障排查思路
2301_81307988的博客
05-28 1932
因此所有在node01上面的pod都被驱逐出来,并转移到node02上面,查看 Pod 状态,会发现 node01 上的 Pod 已经被全部驱逐(注:如果是 Deployment 或者 StatefulSet 资源类型,为了维持副本数量则会在别的 Node 上再创建新的 Pod)当某个node节点需要资源更新时,为防止业务长时间中断,可以依次升级node,首先将需要升级的node节点设置污点,将pod资源调度到其它node节点上(如master资源充足也可以临时调用),等到该节点升级完毕后,去除污点。
Kubernates(k8s)工作负载之工作负载资源
纸上得来终觉浅,绝知此事要躬行
04-29 1695
目录 Deployments 用例 创建 Deployment Pod-template-hash 标签 更新 Deployment 翻转(多 Deployment 动态更新) 更改标签选择算符 回滚 Deployment 检查 Deployment 上线历史 回滚到之前的修订版本 缩放 Deployment 比例缩放 暂停、恢复 Deployment Deployment 状态 进行中的 Deployment 完成的 Deployment 失败的 Deploymen...
K8s基本概念
King_DJF的博客
02-06 1970
文章目录1. Kubernetes简介1.1 是什么1.2 用途2. Kubernetes组件结构与基本概念2.1 结构2.2 核心组件2.2.1 K8s API server2.2.2 Controller Manager2.2.3 Scheduler调度器2.2.4 kubelet2.2.5 kubernetes Service Proxy2.3 基本概念3. 资源对象定义基本与常用命令3.1...
Kubernates(k8s)工作负载之Pods
纸上得来终觉浅,绝知此事要躬行
04-29 1972
文档地址:https://kubernetes.io/zh/docs/concepts/workloads/ 工作负载 工作负载是在 Kubernetes 上运行的应用程序。 无论你的负载是单一组件还是由多个一同工作的组件构成,在 Kubernetes 中你 可以在一组Pods中运行它。 在 Kubernetes 中,Pod 代表的是集群上处于运行状态的一组容器。 Kubernetes Pods 有确定的生命周期。 例如,当某 Pod 在你的集群中运行时,Pod 运行所在的节点出现致命错...
云上攻防-云原生篇&K8s安全&实战场景&攻击Pod&污点Taint&横向移动&容器逃逸
SuperherRo的博客
03-08 1202
1、云原生-K8s安全-横向移动-污点Taint 2、云原生-K8s安全-Kubernetes实战场景
k8s--基础--20--污点和容忍度
zhou920786312的博客
08-11 3670
一个toleration和一个taint相"匹配"是指它们有一样的key和effect如果 operator 是 Exists,此时toleration不能指定value如果 operator 是 Equal,此时它们的value应该相等如果一个toleration的effect为空,则key值与之相同的相匹配taint的effect可以是任意值。NoSchedule:不允许调度,已经调度的不受影响。...
Kubernetes的污点和容忍(上篇)
xiexiaojing的博客
03-15 3263
背景搭建了一个k8s(Kubernetes)的事件监听服务,监听事件之后对数据做处理。有天报了一个问题经调查是新版本的k8s集群添加会把unschedule等信息通过污点...
k8s 污点和容忍度
包泽旭
09-21 491
污点taints是定义在节点之上的键值型属性数据,用于让节点拒绝将Pod调度运行于其上, 除非该Pod对象具有接纳节点污点的容忍度。而容忍度tolerations是定义在 Pod对象上的键值型属性数据,用于配置其可容忍的节点污点,而且调度器仅能将Pod对象调度至其能够容忍该节点污点的节点之上,如图所示 节点选择器nodeSelector和节点亲和性nodeAffinity两种调度方式都是通过在...
集群调度-污点和容忍+指定调度节点
asufeiya的博客
08-12 253
如果可以容忍污点,表示还可能分配到。 就表示可以接受打呼的男生。但不一定找到的就是打呼的。哈哈哈哈哈 可以看master节点就有污点。 表示不会将pod运行到该节点上。 健名:值为空 NoSchedule 二/污点设置 设置污点noexcute。会把已经存在的pod也剔除。 因为是自主式pod.没有控制器管理。所以提出之后就没有了。如果是deployment等就会在其他节点创建pod达到副本的数目。 tolerateseconds表示尽管被驱逐,但是仍然可以保留的运行时间,也就是xx时间后.
云原生kubernetes安全[k8s渗透]
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
01-23 3379
Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用
K8S云原生环境渗透学习
weixin_50464560的博客
05-15 1569
转载至​​​​​​K8S云原生环境渗透学习 - 先知社区 K8S云原生环境渗透学习 前言 ​ Kubernetes,简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋势,有必要学习在k8s环境的下的一些攻击手法。 k8s用户 Kubernetes 集群中包含两类用户:一类是由 Kubernetes管理的service account,另一类是普通用户。 service account 是由
《云原生安全攻防》-- K8s攻击案例:高权限Service Account接管集群
最新发布
persist213的博客
09-03 1093
假设攻击者成功入侵了一个容器内的web应用,并获得了这个Pod的shell权限,这个时候,如果Pod关联的Service Account拥有创建Pod的权限,攻击者就可以利用污点容忍的方式,将一个恶意Pod调度到Master节点上,通过在恶意Pod中挂载根目录,攻击者就可以获取到Master节点上的 kubeconfig 文件,从而直接接管整个K8s集群。攻击者可能会尝试获取有效的Service account凭证,并利用这些凭据来访问集群中的敏感资源,执行特权操作,甚至在集群中创建、修改或删除资源。
k8s-污点 (Taint)和容忍 (Tolerations)
热门推荐
weixin_61269220的博客
10-13 1万+
如果一个节点被标记为有污点,那么意味着不允许pod调度到该节点,除非pod也被标记为可以容忍污点节点在使用kubeadm部署的k8s集群的时候应该会发现,通常情况下,应用是不会调度到master节点的。因为kubeadm部署的k8s集群默认给master节点加了Taints(污点)设置了污点的Node将根据taint的effect:NoSchedule、PreferNoSchedule、NoExecute和Pod之间产生互斥的关系,Pod将在一定程度上不会被调度到Node上。
k8s的污点和容忍度
07-27
污点和容忍度是Kubernetes中用来控制Pod调度的机制。污点(Taint)是指在节点上设置的一种属性,用于排斥一类特定的Pod。而容忍度(Toleration)是指在Pod上设置的属性,用于指定Pod是否可以被调度到具有匹配污点的节点上。 当一个节点上设置了污点时,只有那些在Pod的容忍度中定义了匹配该污点的规则的Pod才能被调度到该节点上。如果Pod没有定义容忍度或者容忍度不匹配节点上的污点,则该Pod将不会被调度到该节点上。 举个例子,假设我们在节点node1上设置了一个污点,key为k1,value为v1,effect为NoSchedule。如果一个Pod的容忍度中定义了匹配这个污点的规则,比如key为test,value为16,effect为NoSchedule,那么这个Pod就可以被调度到拥有这个污点的node1节点上。 总结来说,污点和容忍度是相互匹配的关系。通过在节点上设置污点和在Pod上设置容忍度,我们可以控制Pod的调度行为,避免将Pod调度到不合适的节点上。\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [k8s--基础--20--污点和容忍度](https://blog.youkuaiyun.com/zhou920786312/article/details/126241579)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值