K8s集群入侵排查技巧
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
K8s集群入侵排查需迅速响应,分为Pod和Node两类。Pod可通过kubectl exec和kubectl debug命令进行排查,Node则使用kubectl debug node进行调试。K8s Audit记录API请求,帮助识别攻击行为,如未授权访问和创建特权Pod等。
🎯
关键要点
- K8s集群入侵排查需迅速响应,分为Pod和Node两类。
- Pod入侵排查可通过kubectl exec和kubectl debug命令进行。
- Node入侵排查使用kubectl debug node进行调试。
- K8s Audit记录API请求,帮助识别攻击行为。
- Pod容器入侵排查需进入Pod内部执行命令。
- kubectl debug命令可通过临时容器共享命名空间进行分析。
- kubectl logs命令用于查看Pod日志。
- kubectl debug node命令可在节点上创建临时容器进行调试。
- 节点相关日志包括容器标准输出和kubelet日志。
- K8s Audit可帮助识别未授权访问和创建特权Pod等攻击行为。
- 攻击特征包括使用泄露的服务账户token和kubeconfig文件。
➡️
