攻击过程复现........................................................................................38 3.2 挂载 Docker Socket 导致容器逃逸攻击..................................................38 3.2.1 攻击场景介绍.......... privileged 参数获得所有特权集，使用 cap-add 和 cap-drop 参数增减特权集。 然而，无论是细粒度权限控制还是其他安全机制，用户都可以通过修改容器环境 配置或在运行容器时指定参数来缩小或扩大约束。如果用户为不完全受控的容器 提供了某些危险的配置参数，就为攻击者提供了一定程度的逃逸可能性。 需要特别强调的是，当用户通过 Privileged 参数运行特权容器时，容器将 SELinux 的配置。该 场景下，攻击者可以通过多种手段实现容器逃逸，例如可以直接在容器内部挂载 云原生安全威胁分析与能力建设白皮书 25 宿主机磁盘，然后通过切换目录实现容器逃逸。 危险挂载导致的容器逃逸：为了方便宿主机与容器进行数据交换，用户往往 会采用将宿主机目录挂载到容器中，将宿主机上的敏感文件或目录挂载到容器内 部 ， 将 会 导 致 容 器 逃 逸 风 险 。 例 如 Docker

云原生应用场景对服务的敏捷度、灵活性要求非常高，很多场景期望容器的快速启动、灵活的调度，这样即需要存储卷也能敏捷的根据 Pod 的变化而调整。 需求表现在： • 云盘挂载、卸载效率提高：可以灵活的将块设备在不同节点进行快速的挂载切换； • 存储设备问题自愈能力增强：提供存储服务的问题自动修复能力，减少人为干预； • 提供更加灵活的卷大小配置能力。 2. 监控能力需求 • 多数存储服务在底层文件系 集群的健康； • Agent：在每个存储节点上运行，并部署一个 CSI / FlexVolume 插件， 和 Kubernetes 的存储卷控制框架进行集成。Agent 处理所有的存储操 作，例如挂载存储设备、加载存储卷以及格式化文件系统等； • Discovers：检测挂接到存储节点上的存储设备。 Rook 将 Ceph 存储服务作为 Kubernetes 的 一个服务进行部署，MON、OSD、MGR

插件制作 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 以插件的形式，与应⽤⼀起运⾏⼀个 FILEBEAT 。对⽇志⽬录挂载⽂件存储，即可让FILEBEAT
 收集到指定的⽇志⽂件，并上报ELASTICSEARCH。 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH

指标采集分析 Filebeat性能调优 需要修改配置文件不断尝试 界面提交核心参数并结合延时图对比分析 Filebeat性能管控 日志量太大Cpu飙升影响业务 精准控制资源消耗防止异常减少抖动 Es写入性能调优 修改配置文件不断观察数据情况 基于ES压测报告给出专家级es参数优化建议 参数优化体验 修改配置文件、参数调优相对麻烦 全UI化、一站式处理 14 配置UI化 配置UI化开发思路

填写模板参数 组装能力为“应用” RDS Route Web Service Database 生产集群 Pod Nginx Pod 测试集群 生产集群 https://myapp.io Running Instances 注册 工作负载类型 运维特征 发布/部署 CRD 注册中心 KubeVela 的 Application 对象 镜像与启动参数 多组件 如何扩容 扩容指标，实例数范围 组件类型 可灵活扩展的其 他能力 • 一个完整的应用描述文件（以 应用为中心） • 灵活的“schema”（参数由 能力模板自由组合） • 放置于应用代码库中（gitops 友好） • 无需学习 K8s 细节（ 完整的 用户侧抽象 ） • 可自动适配任意 k8s 集群与部 署环境（环境无关） 查看“能力模板”的用法 1. 能力模板注册时，KubeVela Resource v1 K8s Resource v2 K8s Resource v3 Application ENV 1 ENV 2 ENV 3 不同 ENV 对 Application 做 不同参数的 Patch 生成不同版本 基于环境的 Patch 定义环境、 集群、依赖包 patch patch patch Components Developer Experience Tools

服务组件依赖关系 3. rbd-dns 组件使⽤用技巧之下游dns服务器器设置 4. rbd-dns 组件使⽤用技巧之⽆无⽹网环境下解析域名 5. 组件配置如何⽣生效 6. 快速获悉组件⽣生效参数 1. RAINBOND安装与运维原理理解读 RAINBOND 线上培训（第九期） 2019/8/8 先来带领⼤家仔细熟悉⽂档。浏览⽂档的过程中，逐步解答⼲货中的问题。 1. RAINBOND安装与运维原理理解读 2019/8/8 5. 组件配置如何⽣生效： 修改 /opt/rainbond/conf/*.yml ⽂文件后，执⾏行行 node service update 6. 快速获悉组件⽣生效参数: ps -ef | grep 服务组件名称 2. RAINBOND安装与运维经验分享 RAINBOND 线上培训（第九期） 2019/8/8 2.1 常⻅见安装问题的排查 Rainbond安装问题排查⽂文档

0及更高版本默认为3（默认为2之前） 有关 详细信息，请参阅 Raft协议版本兼容性。 ● -raft-snapshot-threshold：这可以控制保存到磁盘的快照之间的最小筏提交条目数。这是一个很 需要更改的低级参数。经历过多磁盘IO的非常繁忙的群集可能会增加此值以减少磁盘IO，并最大限度 减少所有服务器同时拍摄快照的机会。由于日志将变得更大并且raft.db文件中的空间在下一个快照之 无法回收，因此增加此值将 1.0及更高版本中，默认为16384，在先前版本中， 设置为8192。 ● -raft-snapshot-interval：它控制服务器检查是否需要将快照保存到磁盘的频率。他是一个很少需 改变的低级参数。经历过多磁盘IO的非常繁忙的群集可能会增加此值以减少磁盘IO，并最大限度地减 所有服务器同时拍摄快照的机会。由于日志将变得更大并且raft.db文件中的空间在下一个快照之前无 回收，因此增加此值将

各维度统计分析 观察性 Prometheus Skywalking EFK Hadoop Spark Cortex ....... 传统交付方式的不足之处 手册文档 配置参数 应用 应用 配置参数 应用 应用 软件环境 硬件环境 遗留系统 安装配置点 安装配置点 安装配置点 集成点 集成点 集成点 1. 交付人员学习手册文档，需要在客户 环境做“安装配置”和“与遗留系统集成”

• helm create hello-chart: 创建 Chart 目录 chart.yaml: 声明了当前 Chart 的名称、版本等基本信息 values.yaml: 提供应用安装时的默认参数 templates/: 包含应用部署所需要使用的YAML 文件，比如 Deployment 和 Service等 charts/: 当前 Chart 依赖的其它 Chart • helm template

kubernetes 的服务发现机制 • ksm 采集的监控指标数据量很大，请求其 /metrics 接口可能要拉取十几秒甚至几十秒，对于一些不关注的资源， 我们可以不采集，典型的手段是通过 –resources 参数来控制，比如 –resources=deamonsets,deployments • 对于某个具体的资源类型，可以做更细粒度的控制，比如屏蔽某个指标：--metric- denylist=kube_deployment_spec_