Team, 我正在从笔记本电脑上运行kubectl,并捕获了相同的Wireshark痕迹。如何解密到达 API 服务器的流量?
例如:我们使用Web服务器的私钥解密HTTP调用。 在K8s世界中,我将如何解密对集群的调用? 对此很陌生,所以需要了解。
流量本身和(api(服务器密钥不足以做到这一点。当前的 TLS 实现使用前向保密,因此您还需要会话密钥。可以将浏览器配置为记录会话密钥(您可以将其输入 wireshark(,但我不知道是否可以使用 kubectl 配置一些调试选项来执行此操作。应该不会。
另一种选择是中间人"攻击",它将通过前向保密击败TLS。我使用 mitmproxy 捕获 kubectl 流量。您需要使用 kubernetes CA 进行设置,因此生成的证书就 kubectl 而言是有效的。
当然,所有这些都是为了培训中的教育目的;-(