Новый плагин приносит аудит в Kubectl Exec - больше доступа к слепой оболочке
4 июня 2025 г.Вы когда -нибудь запрыгивали в капсулу и быстро отлаживали что -то, используя kubectl Exec? Это полезно, но у него большой недостаток: нет аудиторского следа.
Kubectl-Rexec может помочь с этим.
Выпуск exec kubectl
Когда ты бегаешь:
kubectl exec -it mypod -- bash
Вы делаете вещи вживую в контейнере. Тем не менее, Kubernetes не отслеживает ваши действия в системе, включая указанные вами команды, обработанные вами файлы и просматриваемые вами журналы.
Это представляет значительный риск для производственных систем. Вы ищете безопасность, отслеживание и наблюдение.
Плагин под названием kubectl-rexec добавляет аудит и занимает место Kubectl Exec. Все, что вы делаете в контейнере, записано, включая команды, и, если вы разрешите, нажатия клавиш. Это особенно хорошо работает в контролируемых настройках.
Представьте, что Kubectl Exec с включенной камерой безопасности.
Руководство по быстрой настройке
Вот как сделать это быстро.
Установите веб -крюк и прокси
Это устанавливает сервис REXEC Backend и выключает встроенный kubectl Exec.
kustomize build manifests/ | kubectl -n kube-system apply -f -
Установка плагина Kubectl-Rexec
Убедитесь, что ваш гобин находится на пути, и это установлено.
go install github.com/adyen/kubectl-rexec@latest
Выполнить его аналогично kubectl Exec
kubectl rexec exec -ti some-pod -- bash
Он функционирует аналогично kubectl Exec, но с полным журналом!
Смотри, как это происходит
Чтобы увидеть, что происходит, вы можете просмотреть журналы хвоста REXEC Proxy:
kubectl -n kube-system logs -l app=rexec -f
Вы можете видеть из журналов, какие команды были выполнены, кем и внутри каких стручков.
Важные настройки конфигурации
Вот несколько полезных показателей:
-Аудит-трейс: Записывает каждый клавиш (для сеансов TTY).
-По-пропасовой пользователь: Позволяет вам опустить аудит для пользователей систем (например, System: Admin).
-КАСС-КОЛЕЙ: Обеспечивает безопасную связь и требуется при запуске нескольких реплик.
-Макс-строй на линию: Измените частоту промывки клавиши (по умолчанию обычно приемлемы).
Важная информация
- TranslateStreamCloseWebSocketRequests = True и Kubernetes v1.30+ или v1.29.
- Версии старше 1,29 не поддерживаются.
- SPDY не поддерживается этим инструментом; Он функционирует только по веб -окетам.
Реальные приложения
- Изучение деятельности внутренних разработчиков в производственной среде.
- Регуляторная приверженность в здравоохранении или Fintech.
- Полная отладка видимости.
Синопсис
Кубектл-рексек, заменив kubectl Exec, предлагает улучшенный контроль, аудит и видимость. Этот плагин очень важен, если вы работаете в настройках, где ответственность имеет решающее значение.
Попробуйте это, проверяйте доступ к оболочке и поддерживайте безопасность ваших Kubernetes!
Предпочитаете смотреть вместо того, чтобы читать? Вот быстрый видеоид
https://youtu.be/5usr9llkbcu?embedable=true
Оригинал