— 自动化运维 Leaning—
云服务
Nessus支持很多种环境, docker vm 主机 aws等等, 这里主要介绍两种:
官方提供docker版本的Nessus镜像,但是没有插件
https://docs.tenable.com/nessus/Content/DeployNessusDocker.htm
docker pull tenableofficial/nessus所以自己把插件添加进去, 在docker容器启动以后,运行下crack.sh, 就可以使用插件了
https://www.tenable.com/downloads/nessus
docker run -d -it --cap-add LINUX_IMMUTABLE -p 3443:3443 --name awvs k9scc/awvs:v15.4 /bin/bash /opt/awvs/start.shdocker中默认是禁止 CAP_LINUX_IMMUTABLE 的
像chattr这些命令,是无法正常使用的,
如果使用 chattr +i file
chattr: Operation not permitted while setting flags on ***
要正常使用chattr等命令, 需要开启 CAP_LINUX_IMMUTABLE
docker run -it --cap-add LINUX_IMMUTABLE xxx如果提示没有chattr命令,需要安装e2fsprogs
yum -y install e2fsprogsTask weight: 7%
Use context: kubectl config use-context infra-prod
Audit Logging has been enabled in the cluster with an Audit Policy located at /etc/kubernetes/audit/policy.yaml on cluster2-controlplane1.
Change the configuration so that only one backup of the logs is stored.
Alter the Policy in a way that it only stores logs:
After you altered the Policy make sure to empty the log file so it only contains entries according to your changes, like using truncate -s 0 /etc/kubernetes/audit/logs/audit.log.
该 cluster 使用 containerd 作为 CRI 运行时。containerd 的默认运行时处理程序是 runc 。
containerd 已准备好支持额外的运行时处理程序 runsc (gVisor)。
使用名为 runsc 的现有运行时处理程序,创建一个名为 untrusted 的 RuntimeClass。
更新 namespace server 中的所有 Pod 以在 gVisor 上运行。
您可以在 /cks/gVisor/rc.yaml 中找到一个模版清单。
无论磁盘分配多大,存储大小为实际占用大小,对于IO频繁的应用会导致性能下降默认创建格式,预先分配空间,有写操作才按需要将其置零分配号空间并进行置零操作,有IO操作时无需等待直接执行转换之前关闭虚拟机
找到对应的虚拟磁盘,然后右键 "扩充磁盘"
注意: 对应目录下有两个vmdk的文件 一个是NAME.vmdk 一个是NAME-flat.vmdk, 需要操作的是NAME.vmdkvmkfstools -i 源磁盘文件名.vmdk -d thin 目标文件名.vmdk
除vmdk后缀文件外的其他文件,建议全部移动到新建bak文件夹
依次点击"管理" -> "服务" -> 搜索"TSM" -> 启动 "TSM" 和 "TSM-ssh"
growpart 扩容工具可以 进行热扩容,不需要重启服务器
debian/ubuntu
apt-get install cloud-guest-utilsCentOS
yum install cloud-utils-growpart如果提示没有,可以使用搜索命令搜索
apt search growpart
yum search growpart
使用growpart扩容后,执行
resize2fs /dev/sdb1报错
实际情况中可能需要根据自己的实际路径修改 /dev/sdb1 /dev/sdb2 或者类似lvm路径
resize2fs: Bad magic number in super-block while trying to open /dev/sdb1
Couldn't find valid filesystem superblock原因是:分区格式非ext3 ext4,可能是xfs或者其他
使用mount 查看对应的分区格式
mount | grep /dev/sdb1如果分区是xfs,则需要使用下面命令进行扩容
xfs_growfs /dev/sdb1如果没有出错则扩容成功
K8s容器仓库地址为 k8s.gcr.io ,在国内是无法正常访问的,
无法正常pull kube-apiserver,kube-controller-manager等,
我们可以通过阿里云来 进行加速
registry.cn-hangzhou.aliyuncs.com/google_containers/查看默认镜像列表
kubeadm config images list结果
k8s.gcr.io/kube-apiserver:v1.24.2
k8s.gcr.io/kube-controller-manager:v1.24.2
k8s.gcr.io/kube-scheduler:v1.24.2
k8s.gcr.io/kube-proxy:v1.24.2
k8s.gcr.io/pause:3.7
k8s.gcr.io/etcd:3.5.3-0
k8s.gcr.io/coredns/coredns:v1.8.6for i in `kubeadm config images list | cut -d / -f 2 ` ;\
do sudo docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/$i ; \
done因为coredns是二级目录,所以需要重新打下标签
sudo docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/coredns:latest registry.cn-hangzhou.aliyuncs.com/google_containers/coredns/coredns:latest参考:
阿里云:
https://developer.aliyun.com/mirror/kubernetes
清华:
https://mirrors.tuna.tsinghua.edu.cn/help/kubernetes/
官方主页:
https://kubernetes.io/
sudo apt-get update && sudo apt-get install -y apt-transport-https
curl https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | sudo apt-key add -
echo "deb https://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.listsudo apt-get update
sudo apt-get install -y kubelet kubeadm kubectlcat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=0
repo_gpgcheck=0 # 这里关闭了gpgkey检查,如需请更改为1
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
sudo setenforce 0
sudo yum install -y kubelet kubeadm kubectl
sudo systemctl enable kubelet && sudo systemctl start kubeletps: 由于官网未开放同步方式, 可能会有索引gpg检查失败的情况, 这时请用
sudo yum install -y --nogpgcheck kubelet kubeadm kubectl安装