队 我从我的笔记本电脑上运行kubectl并捕获了同样的Wireshark跟踪。我如何解密攻击api服务器的流量?
例如:我们使用Web服务器的私钥解密http调用。在k8s世界中,我如何解密对群集的调用?新的,所以需要了解。
答案 0 :(得分:1)
流量本身和(api)服务器密钥不足以满足要求。当前的TLS实现使用https://www.drive-tastic.co.uk/,因此您也需要会话密钥。浏览器可以配置为记录会话密钥(您可以将其提供给wireshark),但我不知道kubectl是否可以配置一些调试选项来执行此操作。可能不是。
另一种选择是forward secrecy,它将以前向保密的方式击败TLS。我使用man in the middle "attack"捕获kubectl流量。您需要使用kubernetes CA进行设置,因此就kubectl而言,生成的证书是有效的。
当然,所有这些都是出于培训的教育目的; - )