Istio proxy uid 1337

最新推荐文章于 2024-08-01 11:30:13 发布

原创最新推荐文章于 2024-08-01 11:30:13 发布 · 480 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#istio #envoy

本文探讨了使用istioctl kube-inject生成的init-container中神秘的UID1337参数，解释了其在Istio环境中的作用及为何应用不应使用此UID。

使用 istioctl kube-inject 生成的 init-container ，会有如下格式的参数：

      initContainers:
      - args:
        - -p
        - "15001"
        - -u
        - "1337"
        - -m
        - REDIRECT
        - -i
        - '*'
        - -x
        - ""
        - -b
        - "9080"
        - -d
        - ""

其中 uid 1337 很诡异，根据 istio 的 ./tools/deb/istio-iptables.sh -h 命令文档说明：

-u: Specify the UID of the user for which the redirection is not
      applied. Typically, this is the UID of the proxy container
      (default to uid of $ENVOY_USER, uid of istio_proxy, or 1337)

以及代码 istio-proxy uid hardcoded 可以定位到 1337 是 istio 写死在代码里面的，后续 istio 加上了说明：https://github.com/istio/istio.io/pull/2940/files

_**Application UIDs**_: Do **not** run applications as a user with the user ID (UID) value of **1337**.

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zhangpin04

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

5、Istio安装与使用指南

pluto的博客

07-20

本文详细介绍了Istio的安装与使用指南，涵盖了环境准备、Istio安装、示例应用部署、Sidecar注入、网关配置、流量管理原理、故障排查方法、高级配置以及与其他工具的集成等内容。通过本指南，用户可以快速掌握Istio的核心功能，并实现对微服务应用的高效管理和控制。

查看用户的UID

路~可以走过

03-09

3494

1.简述实现过程 1.升序排序/etc/passwd 2.筛选用户名称和UID号 2.查看用户的UID sort -t : -k 3 -n /etc/passwd | awk -F : '{print "用户名称:" $1,"UID号:" $3}' awk的参数说明: -F #字段分隔符用户名称:root UID号:0 用户名称:daemon UID号:1 用户名称:bin UID号:2 用户名称:sys UID号:3 用户名称:sync UID号:4 用户名称:games .

参与评论您还未登录，请先登录后发表或查看评论

逃脱只会部署集群系列 —— Istio实现微服务流量治理以及envoy剖析

一别两宽丶各生欢喜

01-16

2851

目录一、利用istio进行微服务流量分配 1、模拟流量分配规则场景 2、使用Istio实现二、服务网格细节剖析 1、宏观角度剖析 2、认识envoy 3、envoy的xDS 4、envoy在微服务治理中的工作环境三、envoy实现原理 1、工作原理四、envoy实现流量转发剖析（重要） 1、istio-init容器作用 2、init容器进行入站出站流量监控 3、envoy接管出口流量剖析 1、监听15001端口跳转路由 2、route规则跳转cluster配置 .

保障 Istio 安全：解决关键安全漏洞及最佳实践

ServiceMesher

08-01

436

探索 Istio 中的关键安全漏洞及其缓解措施，并结合多层安全策略的最佳实践。阅读原文请转到：https://jimmysong.io/blog/securing-istio-addressing-critical-security-gaps-and-best-practices/引言近期，Wiz 研究团队发布了博客[1]，揭示了 AI 服务中的租户隔离漏洞，引起了广泛关注。该研究详细阐述了多个 ...

istio过滤sidecar的流量劫持

qq_32783703的博客

10-21

355

首先查看yaml文件中iptables被过滤掉的用户uid initContainers: - args: - istio-iptables - -p - "15001" - -z - "15006" - -u - "1337" - -m - REDIRECT - -i - '*' - -x

istio 三日谈之一，环境准备

Kubernetes中文社区

09-06

7415

笔者尝试在一个准生产环境下，利用 istio 来对运行在 Kubernetes 上的微服务进行管理。这一篇是第一篇，将一些主要的坑和环境准备工作。内容较多，因此无法写成手把手教程，希望读者有一定 Kubernetes 的操作基础。准备镜像初始运行需要的镜像包括以下几个： istio/mixer:0.1.6pilot:0.1.6proxy_debug:0.1.6

基于Istio的高级流量管理一

weixin_45081220的博客

09-01

798

使用 sidecar 后的链路istio 会获取当前集群内的所有 service 信息并组成一个个的 cluster，一个service 就会有一个 CLUSTER，一个 Pod 会生成一个 ENDPOINTistio 把对应的 CLUSTER 和 ENDPOINT 组合起来当我们插入sidecar 去启动一个服务时，ENDPOINT 的端口、outbound 的端口、route 的配置、cluster 的配置都会被配置好这个时候请求往外走了，到了主机的iptables。.........

istio sidecar 工作方式

daemon365的博客

05-26

659

所以可以看到，流量从 test pod 的 test container 出来之后，会被自己的 envoy(istio-proxy sidecar) 劫持，然后7层转发到 10.244.0.73 (nigix pod IP地址)。然后 nginx pod 中的 envoy container 会劫持这个流量交给自己，然后7层代理到 nginx container。流量回复回去是一个道理。

istio、fortio、envoy

NeverSayNever

01-22

1866

1.官网的envoy的性能测试： https://www.envoyproxy.io/docs/envoy/v1.16.0/faq/performance/how_to_benchmark_envoy 2.

Istio对接虚拟机介绍

a605692769的博客

04-02

1178

一、 K8s、Istio与虚拟机云计算和容器技术开启全新的系统架构和思维方式演进，k8s(Kubernetes)已经是当前容器编排领域实质上的王者。K8s管理一个高度可用的计算机(Linux系统)集群，所有的应用以容器的方式运行在k8s内部并被管理。对于一些老旧的应用来说，不进行架构层次的重构与改变，很难直接被k8s管理。随着微服务体系的发展，逐渐出现了服务网格(Service Mesh)的概念，它提供了一种透明的、与编程语言无关的方式，使网络配置、安全配置以及遥测等操作能够灵活而简...

Istio 实战

MyySophia的博客

10-30

746

Istio是一个用于服务治理的开放平台。Istio是一个Service Mesh形态的用于服务治理的开放平台。Istio是一个与Kubernetes紧密结合的适用于云原生场景的Service Mesh形态的用于服务治理的开放平台。只要服务间有访问，如果需要对服务间的访问进行管理，就可以使用Istio。CNCF 社区2023 年6月毕业的一个项目。流行度稳定性什么是南北流量？东西流量？南北: ingress → svc → ep → po东西: svc → svc。

Istio安装及流量测试

qq_42747099的博客

04-01

817

Istio部署（本次安装以1.0.0为例）下载istio #macOS 或者 Linux 系统，使用如下命令自动下载和解压最新的发行版 curl -L https://git.io/getLatestIstio | sh - 或者到如下页面，根据操作系统下载对应发行版 Istio release 1。解压安装文件，切换到文件所在目录。安装文件目录下包含： install/ 目录下是 Kube...

Istio 1.11.2 底层自动注入流程

baobaoxiannv的博客

02-08

1587

自动注入流程简单说下正式开始之前简单说一下 webhook，这样对以下理解更方便一些。准入控制器也就是 webhook 会拦截 API Server 收到的请求，拦截发生在认证和鉴权完成之后，对象进行持久化之前（这个时候可以修改 pod 模版完成自动注入）。可以定义两种类型的 webhook: Mutating 和 Validating Mutating 修改资源，可以对请求内容进行修改 Validating 验证资源，根据请求的内容判断是继续执行该请求还是拒绝该请求实现流程 pkg/kub

部署Istio，应用接入Istio（Sidecar注入）

小楼一夜听春雨，深巷明朝卖杏花

07-12

2467

查看配置文件的名称，生产环境建议使用default，基本上核心功能都有，minimal是以最小版本去部署的，demo功能多一点，比default多一点。我们这里使用default进行部署安装。下面是查看有哪些配置文件的名称。在install不指定profile那么默认就是使用default。安装的时候后面可以添加--set-profile=default -y部署完查看结果，部署了两个pod，一个istiod，也就是它的控制平面，ingressgateway是用来接受网格流量的，就类似于nginx-i

linux根据uid反查用户名

RodJohnson_523391的专栏

05-16

2824

auditd的日志只记录用户uid而不会显示对应用户名，看起来不是很友好，于是需要根据uid反查出用户名，但是有些用户是在ldap上的，因此也不能通过/etc/passwd来查，咨询了一下全栈工程师root，给了一条命令 [code="shell"]getent passwd uid [/code] 查了一下果然可以，这里记录下，比如查询uid为33的用户名执行 [code...

深度解析Istio系列之Istio-proxy初始化篇

BoCloud博云

03-20

3236

注：以下讲述的按理环境场景是基于Kubernetes环境基础上部署的Istio环境。涉及到Envoy概念介绍请参考深度解析Istio系列之流量控制篇。本文重点针对Envoy初始化场景进行拆解。 Istio-proxy（Envoy）作为Istio数据平面的重要组件，基于sidecar方式与业务应用混合部署到同一pod，为应用提供代理服务。Pilot作为控制平面组件，基于元数据的抽象层，屏...

使用 Istio Service Mesh 管理微服务

JFrog技术博客

12-06

4398

今天的文章通过 Istio 开源项目展示如何为 Kubernetes 管理的微服务提供可见性，弹性，安全性和控制。服务是现代软件体系结构的核心。比起复杂庞大的整体，部署一系列模块化的小型（微型）服务能够使开发人员灵活地使用不同的语言、技术并能放缓节奏，并会有更高的生产力和更快的速度，特别是对于大团队，效果会更好。然而，随着微服务的采用，由于大型系统中存在大量的服务，就会出现新的问题，那就需

istio-proxy相关概念以及启动过程

静叶沉浮

02-25

4097

Istio及Bookinfo示例程序安装试用笔记