加载卷戏法:从 Nobody 到 Terminator
假设有一个 kubeadm 创建的集群上有这样一个用户,它只有一点点权限:在 default 命名空间新建一个 Pod,它能掀起多大风浪呢?
创建这个用户
有个创建用户的小脚本,我们可以创建一个小白用户:
$ ./add-k8s-user.sh nobody
Generating RSA private key, 4096 bit long modulus
....
Now you can try: kubectl get nodes --kubeconfig=kubeconfig-nobody...
blog.fleeto.us3 min read