istio过滤sidecar的流量劫持
首先查看yaml文件中iptables被过滤掉的用户uid
initContainers:- args:- istio-iptables- -p- "15001"- -z- "15006"- -u- "1337"- -m- REDIRECT- -i- '*'- -x- ""- -b- '*'- -d- 15090,15021,15020
看到-u参数 1337,说明用户流量1337 的用户会被过滤掉,然后重写 Dockerfile,加入用户指定为1337 的uid,并且可以运行sudo 指令
RUN apt-get install -qq -y --ignore-missing sudo //安装sudo//创建用户
RUN groupadd --gid 1337 otlp-agent \&& useradd --home-dir /home/otlp-agent --create-home --uid 1337 --gid 1337 --shell /bin/sh --skel /dev/null otlp-agent//配置sudo的配置文件,让非root用户可以sudo
RUN echo "otlp-agent ALL=NOPASSWD: ALL" >> /etc/sudoers//指定当前用户
USER otlp-agent
配置容器yaml文件的container的安全策略
- image: zhangleihunter/otlp-agent:v3imagePullPolicy: Alwaysname: otlp-agentsecurityContext:allowPrivilegeEscalation: trueprivileged: truereadOnlyRootFilesystem: falserunAsGroup: 1337runAsNonRoot: truerunAsUser: 1337ports:- containerPort: 9411name: tcpprotocol: TCPresources:limits:cpu: "1"memory: 1Girequests:cpu: 30mmemory: 40Mi
重点为 securityContext 数组,配置完成后就可以过滤掉sidecar的流量劫持
istio过滤sidecar的流量劫持相关推荐
- Istio中流量劫持机制
文章目录 Istio流量劫持机制 环境介绍 注入Sidecar Init container istio-proxy container 客户端请求 Iptables规则 Envoy Config 服 ...
- Istio二之流量劫持过程
前面介绍了Istio依赖的Envoy的工作原理,接下来通过实际例子演示Istio是如何完成流量劫持以及流量转发的.首先准备部署两个pod,一个nginx pod作为服务端,一个toolbox pod作 ...
- Sidecar及流量拦截机制-上
更多相关文章 个人博客 :pyenv.cc ServiceMesh基本概念 手把手教你部署istio控制平面 四个案例让你掌握istio网格功能 VirtualService实现Istio高级流量治理 ...
- Istio 中的 Sidecar 注入及透明流量劫持过程详解
图片来源:上海五角场 by Jimmy Song 本文基于 Istio 1.5.1 版本,将为大家介绍以下内容: 什么是 sidecar 模式和它的优势在哪里. Istio 中是如何做 sidecar ...
- 基于Istio的高级流量管理二(Envoy流量劫持、Istio架构、高级流量管理)
文章目录 一.Envoy流量劫持机制(Iptables规则流转) 1.流量出向劫持流程 (1)envoy怎样劫持入向流量? (2)Envoy劫持到流量之后,干什么?(查询目的地) (3)获取目的地址之 ...
- Istio 流量劫持
运用服务网格的好处,就是不用修改本身应用的任何代码,就可以实现重试.重试.注册.发现.故障注入等等的能力,而且对开发语言.框架都是没有任何限定统一的技术栈的,那么为什么服务网格那么厉害可以做到那么透明 ...
- 【流量劫持】躲避 HSTS 的 HTTPS 劫持
前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 ...
- android 访问服务器sql_XSS 攻击、CSRF 攻击、SQL 注入、流量劫持(DNS 劫持、HTTP 劫持)—— 浏览器安全
今天看了 jsliang 大佬关于网络安全的文章,为了加深一下印象,自己动手写一下. 主要参考文章:网络安全 --- jsliang XSS攻击 XSS(Cross Site Script)跨站脚本攻 ...
- 流量劫持能有多大危害?
上一篇文章,介绍了常见的流量劫持途径.然而无论用何种方式获得流量,只有加以利用才能发挥作用. 不同的劫持方式,获得的流量也有所差异.DNS 劫持,只能截获通过域名发起的流量,直接使用 IP 地址的通信 ...
最新文章
- 【数学专题】约数个数与欧拉函数
- python保存图片到指定路径_python将处理好的图像保存到指定目录下的方法
- 中国python之父是谁-Python之父重回决策层
- C/C++编译预处理指令
- oracle:平均分大于78的女同学的学号、姓名、平均分
- OSI七层模型的作用
- linux开热点软件,在Ubuntu系统的电脑上开启无线热点全攻略,
- Chrome V8引擎系列随笔 (1):Math.Random()函数概览
- markdown转换html源码,利用Nodejs+Express将Markdown转换为HTML(附源码)
- Apache配置URL重定向
- 整合SSH 遇到错误之一
- android系统计步修改,安卓手机计步软件怎么修改步数 无需root轻松修改步数
- 密码学术语中英文对照(持续更新中)
- CheckboxPreference 改造
- GoldenDict 上的那些精美版权词典(附下载地址)(英语、俄语、梵语、印地语)
- 【2018.12.28】百度网盘永久保存2T容量办法
- sklearn基于轮廓系数来选择n_clusters
- const的意义及作用
- 【报告分享】2021年中国智能运动健身行业研究报告-艾瑞咨询(附下载)
- 理工生文言文的致谢——小木虫