开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在K8s中审计用户在容器内运行的命令

在Kubernetes（K8s）中审计用户在容器内运行的命令，可以通过以下步骤实现：

配置审计策略：Kubernetes提供了审计功能，可以通过配置审计策略来记录用户在容器内运行的命令。审计策略定义了哪些事件需要被审计以及如何记录这些事件。可以使用Kubernetes的API对象定义审计策略，例如使用PodSecurityPolicy对象或者自定义的AuditPolicy对象。
启用审计功能：在Kubernetes集群中启用审计功能，以便开始记录审计事件。可以通过修改kube-apiserver的启动参数来启用审计功能。具体而言，需要设置--audit-log-path参数来指定审计日志的输出路径，以及--audit-policy-file参数来指定审计策略文件的路径。
收集审计日志：审计日志记录了用户在容器内运行的命令以及其他相关事件。可以使用各种日志收集工具（如Fluentd、ELK等）来收集和处理审计日志。将审计日志发送到中央日志存储或日志分析平台，以便进行后续的分析和查询。
分析审计日志：对收集到的审计日志进行分析，以了解用户在容器内运行的命令情况。可以使用日志分析工具、自定义脚本或者专门的审计工具来分析审计日志。通过分析审计日志，可以检测潜在的安全问题、追踪用户操作、满足合规性要求等。

需要注意的是，Kubernetes本身并不提供完整的审计解决方案，而是提供了相关的功能和接口，供用户根据自身需求进行配置和扩展。在实际应用中，可以根据具体情况选择合适的日志收集和分析工具，以及与之配套的安全审计解决方案。

推荐的腾讯云相关产品：腾讯云容器服务（Tencent Kubernetes Engine，TKE）产品介绍链接地址：https://cloud.tencent.com/product/tke

相关搜索:在Gitlab运行器的Docker容器内运行测试命令时出现问题在Docker容器中运行命令的Python脚本无法在容器中运行最简单的命令如何在kubernetes的init容器中运行sed命令？在不挂载项目目录的情况下在Docker容器内运行命令如何在k8s中运行类似于作业的后置容器在docker Ansible容器中运行复杂的linux命令在docker容器内运行的bash文件中没有这样的文件或目录sed命令在dockerfile中运行命令与在容器中手动运行相同的命令所产生的结果不同如何使用kubectl exec在容器中运行命令，并使用容器中的环境变量？在K8s集群上运行的docker容器中调用特定的java主类 Docker:在容器中运行的spigot控制台上执行命令在bash脚本内的自定义shell实例中运行命令在K8s pod中运行的Logstash容器的http插件使用哪个主机和端口？在Kubernetes中查找集群中所有pods的运行容器的用户ID “为什么在Dockerfile中运行的命令不能在容器中创建持久文件？”如何使用不同的用户(su -c)在脚本内使用for循环运行一组命令在Delphi中如何在不运行cmd的情况下运行命令如何在一个容器中运行一个命令的两个实例？无法在通过docker-engine的go sdk api创建的容器中运行启动命令

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

这样的设计太妙了!K8S 神秘架构终于揭开面纱!

Kubernetes，希腊语，意舵手。有时简写为“K8s”，其中“8”代表“K”和“s”之间的 8 个字母，是一个开源系统，支持在任何地方部署、扩缩和管理容器化应用。

04

金融云原生漫谈（六）｜安全平稳高于一切的金融行业，如何构建云原生安全防线

在金融行业数字化转型的驱动下，国有银行、股份制银行和各级商业银行也纷纷步入容器化的进程。

02

如何使用 K8s 两大利器"审计"和"事件"帮你摆脱运维困境？

张鹏，腾讯云容器产品工程师，拥有多年云原生项目开发落地经验。目前主要负责腾讯云容器服务 TKE 集群和运维中心开发工作。概述下面几个问题，相信广大 K8s 用户在日常集群运维中都曾经遇到过: 集群中的某个应用被删除了，谁干的？ Apiserver 的负载突然变高，大量访问失败，集群中到底发生了什么？集群节点 NotReady，是什么原因导致的？集群的节点发生了自动扩容，是什么触发的？什么时间触发的？以前，排查这些问题，对客户来说并不容易。生产环境中的 Kubernetes 集群通常是一个相当复杂

01

直播报名中｜腾讯云容器服务 K8s 日志一站式解决方案部署实践

日志服务（Cloud Log Service，CLS）是腾讯云提供的一站式日志服务平台，提供了从日志采集、日志存储等多项服务，当用户运行过程中遇到问题时，可以通过日志来解决业务运维、日志运营等场景问题。本期将由腾讯云高级开发工程师 “易洋” ，为大家介绍 Kubernetes 集群日志收集的方案原理与实现，以及日志解决方案部署的实践指南。只要用 Kubernetes 就会接触日志服务，那你就更不能错过此次直播分享。【云原生正发声】第十二期【10月26日 19:30】和你一起深研腾讯云容器服务 K8

01

利用K8S技术栈打造个人私有云（连载之：基础镜像制作与实验）

任何一家云主机厂商提供给用户的主机功能其实讲白了就是一个操作系统基础镜像的运行实例。因此本篇博文将讲解如何在本地构建一个带ssh组件的centos底包镜像并上传到docker hub上供下载使用。

06

微众银行案例｜容器化实践在金融行业落地面临的问题和挑战

作者陈广镇、李焕，微众银行容器平台负责人，拥有大规模 Kubernetes 集群开发运维经验。目前负责微众银行容器项目规划、容器平台架构和开发。本文整理自微众银行容器负责人陈广镇和李焕在 Techo 开发者大会云原生专题的分享内容——微众容器化实践。本文主要和大家介绍微众的容器化实践，具体分为三个部分：里程碑、实践之路，以及未来的规划。微众应用容器化项目始于2018年底，我们的生产环境在私有机房上，由于基础设施的差异，容器管理系统主要走自研路线，基于开源产品定制。 2019年1月，微众上线了第一

03

kube-apiserver审计日志记录和采集

Kubernetes 审计功能提供了与安全相关的按时间顺序排列的记录集，记录单个用户、管理员或系统其他组件影响系统的活动顺序。它能帮助集群管理员处理以下问题：

02

K8s 系列(一) - 知识图谱

Kubernetes(K8s) 作为当前最知名的容器编排工具，称得上是云原生(Cloud Native)时代的“操作系统”，熟悉和使用它是研发、运维、产品等的必备技能。本篇文章从发展历史、安装运行、资源、存储、网络、安全、管理、未来展望等方面约 680 个知识点概述了 K8s 的知识图谱，旨在帮助大家更好的了解 K8s 的相关知识，为业务、运维、创新打下坚实基础。

03

404星链计划 | CDK:一款针对容器场景的多功能渗透工具

CDK是一款为容器环境定制的渗透测试工具，在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。集成Docker/K8s场景特有的逃逸、横向移动、持久化利用方式，插件化管理。

03

万字警告 - k8s入门，理应Pod先行！

大家好，欢迎来到小菜个人 solo 学堂。在这里，知识免费，不吝吸收！关注免费，不吝动手！死鬼~看完记得给我来个三连哦！

03

Kubernetes 是什么？

最近容器化部署服务非常火，以至于各个公司都在积极部署docker服务，今天介绍下Kubernetes，小强作为入门级选手，这是一篇 Kubernetes 的概览。

03

k8s 日志采集最佳实践

通常一个线上问题的定位流程是: 通过 Metric 发现问题, 根据 Trace 定位到问题模块，根据模块具体的日志定位问题原因。在日志中包括了错误、关键变量、代码运行路径等信息，这些是问题排查的核心，因此日志永远是线上问题排查的必经路径;

04

第一个Kubernetes应用

应用配置文件一般是YAML格式的，其中包含容器的定义、参数、配置等等信息，然后只需一条指令(kubectl create -f)就可以通过这个YAML文件把容器运行起来。

02

Docker Desktop开启内置的K8S并安装kuboard进行微服务管理

Docker Desktop 是 Docker 官方提供的桌面应用程序，它允许用户在个人计算机上安装并运行 Docker 引擎。Docker Desktop 支持 Windows 和 macOS 操作系统，通过它用户可以构建、共享和运行容器化应用程序。

01

使用 Velero 进行集群备份与迁移

在近日的一个风和日丽的下午，正在快乐的写 bug 时，突然间钉钉就被 call 爆了，原来是 k8s 测试集群的一个 namespace 突然不见了。这个 namespace 里面有 60 多个服务，瞬间全部没有了……虽然得益于我们的 CI/CD 系统，这些服务很快都重新部署并正常运行了，但是如果在生产环境，那后果就是不可想象的了。在排查这个问题发生的原因的同时，集群资源的灾备和恢复功能就提上日程了，这时 Velero 就出现了。

02

Polyaxon食谱 | 大规模深度学习应用训练平台使用笔记，让代码在集群上飞快跑起来

这是来自官方文档的介绍。就我理解而言，polyaxon依靠k8s部署在集群上，可以自主分配需要集群资源，创建简单，可重复，可移植的部署，依靠docker定制运行环境，用于大规模深度学习和机器学习训练。

02

云原生实践总结

CLOUD NATIVE LANDSCAPE https://cncf.landscape2.io/?group=projects-and-products

01

于广游：TKE——贯穿云端，一站式云原生容器 PaaS 平台

12月15日，由腾讯云主办的首届“腾讯云+社区开发者大会”在北京举行。本届大会以“新趋势•新技术•新应用”为主题，汇聚了超40位技术专家，共同探索人工智能、大数据、物联网、小程序、运维开发等热门技术的最新发展成果，吸引超过1000名开发者的参与。以下是DevOps分会场的演讲内容，稍作整理，分享给大家。

05

云原生安全DevSecOps思考

近年来，云原生技术应用日益广泛，而容器编排平台Kubernetes（k8s）的出现，使得我们的服务具备了前所未有的灵活性和扩展性。然而，这同时也带来了诸多云原生安全问题。近期曝出的Runc CVE-2024-21626 缺陷，造成了容器逃逸的问题，引发了很大的关注。这个问题出现的原因，是在runc 1.1.11及之前的版本中，因文件描述符泄露，容器进程在宿主文件系统中拥有了工作目录权限，从而容易被攻击者利用，实现容器逃逸。得益于这个问题，我们重新认识到了不论是身份和权限控制、网络攻击等方面的问题，都对我们的服务和数据安全构成了威胁。本文的目的是深入探讨云原生环境下的安全脆弱性，并介绍配套的工具和方法，帮助企业在步入云原生大门时关好每扇安全窗。

01

区块链与容器技术的相遇

区块链技术被视为一项颠覆性的软件技术，正酝酿着新一轮的技术和产业变革, 作为信息技术的新基建，我们希望能够快速地把它搬到任何需要它的地方，那如何做到呢？我们知道搭建一个软件应用系统核心需要解决问题就是部署，自然而然，我们很容易联想起容器技术，作为软件部署的一套通用解决方案，容器技术应用在区块链领域中也是顺理成章的。

01

分布式日志系统 EFK 的应用实践（一）

在早期的项目中，如果想要在生产环境中通过日志定位业务服务的Bug 或者性能问题，则需要运维人员使用命令挨个服务实例去查询日志文件，这样导致的结果就是排查问题的效率非常低。

02

Kube-OVN 社区规划Roadmap 2021-2022 | What’s the next?

作为全球首个被CNCF纳入托管的开源CNI网络项目，Kube-OVN已经成为K8s生态中功能最完备、对传统基础设施兼容性最佳的开源网络组件。

05

12月容器月报 | 降低 65% 业务成本的弹性容器EKS「竞价实例」上线

2020年12月 VOL:08 腾小云告诉你最前线的产品新特性，总有一款让你心动～云说新品容器产品新特性 12月上新腾讯云容器服务公有版TKE 高可扩展和高性能容器管理服务腾讯云容器服务（Tencent Kubernetes Engine，TKE）是高度可扩展的高性能容器管理服务，您可以在托管的云服务器实例集群上轻松运行应用程序。 1. TKE 节点池全量上线, 支持包年包月计费模式。 2. 扩展组件上线 CBS-CSI 组件，支持：静态数据卷/动

03

部署应用到 k8s 入门教程

本篇文章适合k8s入门参考，使用 yaml 文件和 kubectl 命令完成应用部署。本文的脚本只演示了最基础的配置。

07

Kubernetes 入门&进阶实战

作者：oonamao毛江云，腾讯 CSIG 应用开发工程师写在前面笔者今年 9 月从端侧开发转到后台开发，第一个系统开发任务就强依赖了 K8S，加之项目任务重、排期紧，必须马上对 K8S 有概念上的了解。然而，很多所谓“K8S 入门\概念”的文章看的一头雾水，对于大部分新手来说并不友好。经历了几天痛苦地学习之后，回顾来看，K8S 根本不复杂。于是，决心有了这一系列的文章：一方面希望对新手同学有帮助；另一方面，以文会友，希望能够有机会交流讨论技术。本文组织方式： 1. K8S 是什么，即作用和目的

03

走进云原生的安全防线

在云原生的世界中，安全不是一个待选项，而是必需品。随着越来越多敏感应用的转移到云端，确保这些应用的安全变得至关重要。如何构建起一道坚不可摧的安全防线，保护你的应用不受攻击？我们一起一探究竟。

01

每周云安全资讯-2022年第24周

云原生安全 1 ServerLess Aws Lambda攻击与横向方法研究本文围绕lambda攻击场景、env利用以及移动移动进行了讲解与演示 https://mp.weixin.qq.com/s/iHA20KTzvzoDeqw2bAoTxA 2 前沿研究 | 云原生服务风险测绘分析（五）：Etcd 本篇为云原生服务测绘系列的第五篇，主要从资产发现、资产漏洞、资产脆弱性发现三个维度对国内暴露的Etcd进行了测绘分析，最后笔者针对Etcd提供了一些安全建议，希望各位读者通过阅读此文可对Etcd服务风险暴

03

在 K8S 中部署一个应用上

本身在 K8S 中部署一个应用是需要写 yaml 文件的，我们这次简单部署，通过拉取网络上的镜像来部署应用，会用图解的方式来分享一下，过程中都发生了什么

02

每周云安全资讯-2023年第37周

本文介绍了最近发现的一个尚未公开的容器逃逸方法，当一个容器共享宿主机 PID namespace、且以 uid 为 0 运行（没有启用 user namespace、没有添加任何额外的 capabilities）时，可以利用某些进程的 `/proc/[pid]/root` 符号链接实现容器逃逸。

05

用Kubernetes部署超级账本Fabric的区块链即服务(1)

【注：下载本文PDF版本以及本文源代码，可关注本公众号：亨利笔记，后台发送消息“区块链即服务” 或 “baas”即可。】

02

5000字解析：实战化场景下的容器安全攻防之道

在这个数字化转型关键时期，以容器为代表的云原生技术凭借自身的优势，正在逐渐成为核心IT基础设施。云原生已经不再是少部分“创新者”的特权，而是成为了市场主流选择，容器、容器云逐渐成为工作负载的主流形态。

07

K8s日志系统建设的6个典型问题

导读：随着 K8s 不断更新迭代，使用 K8s 日志系统建设的开发者，逐渐遇到了各种复杂的问题和挑战。本篇文章中，作者结合自己多年经验，分析 K8s 日志系统建设难点，期待为读者提供有益参考。

02

私有云与K8S对比

mdo架构如下，通过manager + agent两个概念管理集群，manager 和 agent上运行的都是无状态的服务，集群状态持久化到etcd中。

04

K8s 终将废弃 docker，TKE 早已支持 containerd

李志宇，腾讯云后台开发工程师。负责腾讯云TKE集群节点和运行时相关的工作，包括 containerd、docker等容器运行时组件的定制开发和问题排查。洪志国，腾讯云工程师，负责 TKE 产品容器运行时，K8s，Mesh 数据面等基础组件研发。近日 K8s 官方称最早将在 1.23 版本弃用 docker 作为容器运行时，并在博客中强调可以使用如 containerd 等 CRI 运行时来代替 docker。本文会做详细解读，并介绍 docker 与 containerd 的关系，以及为什么 con

06

实践案例 | 用Kube-OVN实现跨K8s的统一网络平面部署TiDB

作者：成臣（Sei Jin） PingCAP Marketing & Community

03

微服务动态路由实现：OpenResty+K8s

K8sService能够提供很强大的功能，通过提供ClusterIP可以作为Pod的对外访问接口，并提供软负载均衡。但是Service的ClusterIP地址只能在集群内部访问，如何让集群外部的用户访

09

Kubernetes（k8s）入门学习

1、Kubernetes（k8s）是舵手的含义，Kubernetes（k8s）是什么？

01

1. 死磕 k8s系列之核心概念介绍

类似于轻量级的沙箱，Docker利用容器来运行和隔离应用。容器是从镜像创建的应用运行实例，可以将其启动、开始、停止、删除，但是所有的容器是相互隔离的，互不可见的，这就提供了一个实体机可以安装多个容器，且很轻量级相对于虚拟机。

01

为什么有了Docker registry还需要Harbor？

目录：一、Harbor的安全机制二、Harbor的镜像同步三、Harbor与K8s的集成实践四、两个小贴士五、总结 Habor是由VMWare公司开源的容器镜像仓库。事实上，Habor是在Docker Registry上进行了相应的企业级扩展，从而获得了更加广泛的应用，这些新的企业级特性包括：管理用户界面，基于角色的访问控制，AD/LDAP集成以及审计日志等。容器的核心在于镜象的概念，由于可以将应用打包成镜像，并快速的启动和停止，因此容器成为新的炙手可热的基础设施CAAS，并为敏捷和持续交付包

05

Kubernetes(K8s) —— 容器编排管理技术

kubeadm 是官方社区推出的一个用于快速部署 kubernetes 集群的工具，这个工具能通过两条指令完成一个 kubernetes 集群的部署：

04

如何在容器中执行多条指令并能优雅退出

本文主要围绕k8s command展开讨论。(deployment.spec.template.spec.containers[n].command) 主要聊聊平台在接入用户业务时，如何保证满足业务基本需求情况下增强平台易用性。

03

浅谈云上攻防——Kubelet访问控制机制与提权方法研究

背景本文翻译整理自rhino安全实验室：近些年针对kubernetes的攻击呈现愈演愈烈之势，一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器，尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit 42研究人员检测到的TeamTNT组织的恶意软件Siloscape就是利用了泄露的AWS凭证或错误配置从而获得了kubelet初始访问权限后批量部署挖矿木马或窃取关键信息如用户名和密码，组织机密和内部文件，甚至控制集群中托管的整个数据库从而发起勒索攻击。根据微

03

当我们谈论云原生网络时，Kube-OVN 究竟能带来什么？(下)｜视频回顾

下面介绍一下灵雀云开源的Kube-OVN在云原生实践方面所做的一些事情，Kube-OVN根据日常实践中遇到的问题也在不断改进。

01

腾讯安全与青藤举办新品战略发布会，推出容器安全平台

近年来，以容器为代表的云原生得到了市场的高度认可，正逐步成为新一代主流IT基础设施。但由于容器以及容器应用环境引发的安全风险与安全事件不断爆出，容器的安全问题也随之浮出水面。

02

到底什么是“云原生”？

是的，作为云计算领域的一个新兴概念，云原生现在频繁出现在我们的视野中。很多互联网大咖把它奉为至宝，走到哪说到哪。

一文搞懂基于 Kubescape 进行 Kubernetes 安全加固

Hello folks! 今天我们介绍一款开源容器平台安全扫描工具 - Kubescape。作为第一个用于测试 Kubernetes 集群是否遵循 NSA-CISA 和 MITREATT&CK 等多个框架安全部署规范的开源工具，Kubescape 在整容器编排生态中具有举足轻重的意义。在这篇文章中，我们将解析什么是 Kubernetes 加固以及如何基于 Kubescape 工具进行 Kubernetes 生态体系加固。

07

ASP.NET Core on K8S学习初探（1）

当近期的一个App上线后，发现目前的docker实例（应用服务BFF+中台服务+工具服务）已经越来越多了，而我司目前没有专业的运维人员，发现运维的成本逐渐开始上来，所以容器编排也就需要提上议程。因此我决定开始学习Kubernetes，会将学习当中的过程记录下来，预计会形成一个系列，暂且命名为：ASP.NET Core on K8S，而这个系列会由3个部分组成，且会在不同的时期写完：

05

5000字解析：实战化场景下的容器安全攻防之道

在这个数字化转型关键时期，以容器为代表的云原生技术凭借自身的优势，正在逐渐成为核心IT基础设施。云原生已经不再是少部分“创新者”的特权，而是成为了市场主流选择，容器、容器云逐渐成为工作负载的主流形态。

02

首届eBPF.io Summit 2020见闻

第一次在Thomas的Twitter上看到要办eBPF技术大会的时候，兴奋不已，作为一个已经学习BPF技术大半年并且还在持续学习中的爱好者，就像粉丝看到偶像要办演唱会一样，迫不及待地要买票入场，一睹偶像们的音容笑貌。这次是Thomas所在的公司Isovalent作为主办方，说是邀请了一众BPF圈内大咖，看到会议日程出来后，直呼简直是神仙阵容，然后我就连续熬了两个通宵，在线看完了这场技术盛宴的直播，下面是我从个人角度出发的对大会的回顾文字。

04

一文搞懂基于 Kubescape 进行 Kubernetes 安全加固

Hello folks! 今天我们介绍一款开源容器平台安全扫描工具 - Kubescape。作为第一个用于测试 Kubernetes 集群是否遵循 NSA-CISA 和 MITREATT&CK 等多个框架安全部署规范的开源工具，Kubescape 在整容器编排生态中具有举足轻重的意义。在这篇文章中，我们将解析什么是 Kubernetes 加固以及如何基于 Kubescape 工具进行 Kubernetes 生态体系加固。

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭