(4) cAdvisor 용기 모니터링 패 널 에 권한 이 부여 되 지 않 은 접근 을 해결 합 니 다.

cadvisor 는 구 글 이 개발 한 용기 모니터링 도구 로 k8s 에 k8s 의 모니터링 구성 요소 로 내장 되 어 있다.기본적으로 인증 권한 이 없습니다.공격 자 는 cAdvisor 용기 모니터링 패 널 에 직접 접근 할 수 있 는 권한 을 부여 하지 않 고 해당 Docker 의 민감 한 정 보 를 얻 을 수 있 습 니 다.
cAdvisor 를 여 는 인증 은 Prometheus 를 여 는 인증 방법 과 같 습 니 다. 모두 nginx 의 auth 를 통 해 이 루어 집 니 다.basic 기능 에이전트 cAdvisor 인증.
따라서 첫 번 째 단계, nginx 두 번 째 단 계 를 배치 하고 httpd - tools 도 구 를 설치 하 는 세 번 째 단계, nginx. conf 네 번 째 단 계 를 수정 하고 prometheus. yml 다섯 번 째 단 계 를 수정 하여 서 비 스 를 다시 시작 합 니 다.
첫 번 째 단 계 는 nginx 를 배치 하고 nginx 홈 페이지 에 nginx 의 설치 패 키 지 를 다운로드 합 니 다. 작업 절 차 는 다음 과 같 습 니 다.
~:useradd -M -s /sbin/nologin nginx
~:yum -y install pcre-devel zlib-devel openssl
~:tar -zxvf nginx-1.17.7.tar.gz 
~:cd nginx-1.17.7
~:./configure --prefix=/usr/local/nginx --group=nginx --with-http_stub_status_module && make && make install


두 번 째 단계, httpd - tools 도구 설치
~:yum -y install httpd-tools
~:cd /usr/local/nginx/
~:htpasswd -c .ht.passwd cAdvisor

세 번 째 단계, nginx. conf 수정
~:vim nginx.conf

    server {
     
        listen 16060;
    
        location / {
     
    
            auth_basic "cAdvisor";
            auth_basic_user_file ".ht.passwd";
            
            proxy_pass  http://localhost:6060/;
   
           }
    }
~:../sbin/nginx -s reload

네 번 째 단계, prometheus. yml 수정
~:vim prometheus.yml
  - job_name: 'docker'
    static_configs:
    - targets:
      - '***.***.***.***:16060'
    basic_auth:
      username: cAdvisor
      password: ************

~:systemctl restart prometheus

다섯 번 째 단계, 서비스 재 개
OK, 간단명료 하 다. 하하, 6060 포트 를 꺼 라.

좋은 웹페이지 즐겨찾기