攻击其他服务：集群中往往会有一些通过 ClusterIP 暴露在内部的 Service，这些服务在集群外部是扫描不到的，但是在内部 pod 中通过前文提到 的信息搜集方法就有可能发现一些敏感服务，比如通过扫描端口或查看环境变量 等。 2.4.5k8s 管理平台攻击 除了官方推出的 Dashboard，还有很多 k8s 管理平台，比如 Rancher、 KubeSphere、KubeOperator 等，k8s 管理平台存在未授权访问、弱口令登 全局信息泄露：无服务器计算架构中函数调用的不同服务通常也会被其它用 户的函数调用来提供服务，无法像传统应用程序使用单个集中式配置文件存储的 云原生安全威胁分析与能力建设白皮书 35 方式，因此开发人员多使用环境变量替代，使服务使用的敏感数据可能会留在容 器中，并可能在函数的后续调用期间暴露。攻击者可以利用无服务器计算架构的 这一特点，通过恶意程序植入等手段，获取服务中的全局敏感数据，造成敏感数 据泄露。 3.4.2 攻击过程复现 为了复现攻击过程，用户可以参照文章[30]搭建测试环境，包括 k8s 及 Istio 集群环境，httpbin 服务、gateway、部署 JWT 策略以及设置相应的环境变量 等。攻击过程复现如下： 首先，访问加了 JWT 认证的 url path “/ip”，结果如图 16 所示： 图 16 未授权访问结果 可以看到服务端返回 401 Unauthorized

2019/7/31 2.对接ELASTICSEARCH 1.2 插件制作 - 项⽬目地址：https://github.com/goodrain-apps/filebeat - 根据代码，配置环境变量量选项 - 持久化⽬目标应⽤用的⽇日志路路径 - 制作流程⼿手动演示 RAINBOND 线上培训（第⼋八期） 2019/7/31 我是郭逊， 好⾬雨交付⼯工程师， 我为交付质量量代⾔言

，可扫描发现CNNVD、 CVE等漏洞信息 ， 提 供 详 细的漏洞分析能力联动。 安全风险发现 针对容器镜像内Webshell 、 病毒、木马进行检测；针 对 镜 像 文件中的SSH密钥 、 环境变量中的密码等敏感 信息进行发现，防止敏感 信息泄露。 构建历史命令审计 对镜像文件构建的历史命 令进行审计扫描，对高危 操作进行标记并告警。 镜像发布管控 镜像在被发布之前，依据 安全策略对镜像进行检测

.+) 的 labelmap，即：通过这种方式采集的数据，我们无法得到 node 上的 label 数据。node 上的 label 数据最核心的就是 标识了 node 的 IP • 我们可以通过环境变量为抓取器注入NODEIP，比如用 Categraf 的话，就会自动把本机 IP 作为标签带上去，设置 config.toml 中的 hostname=“$ip” 即可 完整配置可以参考： https://github

主要体现在Yarn的复杂性 主要体现在领域专业性上 应用改造成本高：将运行在Hadoop平台的大数据应用迁移到云原生平台，一方面需要大数据团队将业务应用进行 容器化改造，如系统任务的启动方式、基础设施的适配（环境变量、配置文件获取方式的变更等），这些都需要 大数据团队来做适配，在资源管理的方式，则从适配Yarn修改为适配Kubernetes，总体改造成本比较高；另一方面， 需要在大数据应用的资源申请层面进行改