基于容器的安全服务(华为云本地环境构建Kubnernetes 容器应用)

举报
hid_tfpnbc-crg465e5 发表于 2023/11/18 12:30:19 2023/11/18
【摘要】 基于容器的安全服务(华为云本地环境构建Kubnernetes 容器应用)
容器所遵循的共享内核模型架构同样会引入安全风险,评判其安全性能的好坏的因素在
于主机操作系统能否对容器进行隔离一些商业产品引入了容器安全框架,能够在运行时监视
容器并实施动态的控制策略。容器安全服务(Container Security Service, CSS)提供容
器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时
的全生命周期,帮助企业构建容器安全防护体系。Docker 具有一下优点:硬件成本低,虚
拟化硬件损耗也较低,性能好;可以做到运行环境快速部署,启动极快,伸缩有弹性;支持
打包管理,保证一致性;动态调度迁移成本低等。
在本次尝试中从Ubuntu 下搭建 Dockers、 安装 Kubnernetes,并
且进行了安全测试。
一、VMware的安装
方法一:去官网下载,然后去网上找相关的许可证
方法二:http://mp.weixin.qq.com/s?__biz=MzIyNjU2NzIxNQ==&mid=2247485198&idx=1&sn=fb24
61b340e6dd31895d0993ad72e4c4&chksm=e86f324edf18bb58d6f0f7cbd9d30caef8f2b6899a12f9
303f9c83cc961f7900058373a1f36e&mpshare=1&scene=23&srcid=0222CQ5598w1CNpqZW61vgzL
&sharer_sharetime=1645512785274&sharer_shareid=d91c96e983bc83094af7577cae27fc84#rd
二、Ubuntu的安装
清华镜像源
清华大学开源软件镜像站 | Tsinghua Open Source Mirror

图片.png

图片2.png


三、Ubuntu虚拟机的创建
考虑到以后运行服务器时的速度,建议在安装时将内存尽量选大一点,电脑允许的话选择
4096MB或者更高吧。磁盘大小的话选择40G或者更大

图片3.png

图片4.png


为了操作便捷,建议再安装一下vmware tools,可以参考下面那个链接中的方式安装,也可以自
己百度一些其他的博客。关于如何知道是否安装成功vmware tools,可以尝试将自己主机中的一
txt文档拖拽进 Ubuntu中(拖进某个文件夹,直接拖到桌面好像不行),如果可以的话说明
vmware tools已经安装好了。

图片5.png


四:分析
1.
IAAS,PAAS,SAAS
.如果给云计算服务分层的话,IaaS(Infrastructure as a Service,基础架构即服务)
可以被看做第一层,有时候也叫做 Hardware-as-a-Service。该层可以提供给消费者的服务
是对所有计算基础设施的利用,包括处理 CPU、内存、存储、网络和其它基本的计算资源,
用户能够部署和运行任意软件,包括操作系统和应用程序。PaaS(Platform-as-a-Service,
平台即服务)可以被看做第二层,某些时候也叫做中间件。该层可以为用户提供各种开发语36
言和工具开发环境,让用户不需要在本地安装各种平台。SaaS(Software-as-a-service,
软件即服务)可以被看做第三层,这一层是与用户接触最多的一层,大多数用户是通过网页
浏览器来接入。该层可以提供运行在云计算基础设施上的应用程序,让用户在各种设备上通
过客户端界面访问,如浏览器。消费者不需要管理或控制任何云计算基础设施,包括网络、
服务器、操作系统、存储等。
在这里,我拿做饭来举例对比这三种云服务计算。IaaS 就是提供了厨房、锅碗瓢盆等
厨具、餐具等等的地方,但还需要用户购买蔬菜调料来做出适合自己的饭菜,如 Amazon、
华为云、Mircrosoft 等等
2. K8S 在华为云的对比
根据查找浏览到的内容,对边缘 k8s 在华为云,华为云收费维度按照 App 数量收费,管理集群费用为 0,节点 Agent
资源消耗较小,不兼容 Kubernetes 的 API,不提供 kubectl/命令行,不能远程登录容器调
试,但有消息管理和端设备管理。
五、 启动 Vulhub 搭建漏洞环境
1. 让 windows10 和 docker 通讯
如果此时在宿主机中 ping Docker 容器是 ping 不同的,因为在宿主机上没
有通往 192.168.150.2 网络的路由,宿主机会将发往 192.168.150.2 网络的数据
发往默认路由,这样就无法到达容器。
具体操作如下:
Cmd: route add -p 172.17.0.0 mask 255.255.255.0 192.168.150.131 //-p 表示永久
添加
查看添加的路由:
route print 172.17.0.0 255.255.0.0 192.168.2.131 192.168.2.200 36

图片6.png

docker容器中下载vulhub漏洞环境,
Pip安装
下载 docker 漏洞环境:Vulhub
Vulhub 是一个面向大众的开源漏洞靶场,是基于 docker 和 docker-compose
的漏洞环境集合,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。
a) 搭建漏洞环境
git clone https://github.com/vulhub/vulhub.git
https://github.com/vulhub/vulhub/archive/master.zip
//直接下载
地址
b) 进入 vulhub-master/weblogic/CVE-2017-10271 目录
c) 安装漏洞环境
docker-compose up -d
docker ps //查看运行服务端口
///////////
待更新中

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。