Неизвестные пользователи в / home / gke в Google Computer Engine

Я выбираю, что мои экземпляры Google Cloud созданы как новые пользователи системы. Формат: / home / gke-xxxxxxxxxx.

Эти пользователи появляются в экземплярах Linux на основе Debian и Google Container Engine.

Например:

root@node1:/home# ls -lh
total 24K
drwxr-xr-x 3 gke-34cf46593ebc10a5beb5 gke-34cf46593ebc10a5beb5 4.0K Sep 29 04:18 gke-34cf46593ebc10a5beb5
drwxr-xr-x 3 gke-b230f34ceeb7c905fdb6 gke-b230f34ceeb7c905fdb6 4.0K Sep 29 04:18 gke-b230f34ceeb7c905fdb6



root@node1:/etc# cat /etc/passwd | grep gke
gke-34cf46593ebc10a5beb5:x:1021:1022::/home/gke-34cf46593ebc10a5beb5:/bin/bash
gke-b230f34ceeb7c905fdb6:x:1022:1023::/home/gke-b230f34ceeb7c905fdb6:/bin/bash


root@node1:/etc# cat /etc/group | grep gke
adm:x:4:gke-34cf46593ebc10a5beb5,gke-b230f34ceeb7c905fdb6
dip:x:30:gke-34cf46593ebc10a5beb5,gke-b230f34ceeb7c905fdb6
video:x:44:gke-34cf46593ebc10a5beb5,gke-b230f34ceeb7c905fdb6
plugdev:x:46:gke-34cf46593ebc10a5beb5,gke-b230f34ceeb7c905fdb6
google-sudoers:x:1000:gke-34cf46593ebc10a5beb5,gke-b230f34ceeb7c905fdb6
gke-34cf46593ebc10a5beb5:x:1022:
gke-b230f34ceeb7c905fdb6:x:1023:

Это фрагмент входа в систему: /var/log/auth.log

Sep 29 04:18:57 node1 useradd[11226]: new group: name=gke-34cf46593ebc10a5beb5, GID=1022
Sep 29 04:18:57 node1 useradd[11226]: new user: name=gke-34cf46593ebc10a5beb5, UID=1021, GID=1022, home=/home/gke-34cf46593ebc10a5beb5, shell=/bin/bash
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to group 'adm'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to group 'dip'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to group 'video'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to group 'plugdev'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to group 'google-sudoers'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to shadow group 'adm'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to shadow group 'dip'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to shadow group 'video'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to shadow group 'plugdev'
Sep 29 04:18:57 node1 usermod[11231]: add 'gke-34cf46593ebc10a5beb5' to shadow group 'google-sudoers'
Sep 29 04:18:57 node1 useradd[11236]: new group: name=gke-b230f34ceeb7c905fdb6, GID=1023
Sep 29 04:18:57 node1 useradd[11236]: new user: name=gke-b230f34ceeb7c905fdb6, UID=1022, GID=1023, home=/home/gke-b230f34ceeb7c905fdb6, shell=/bin/bash
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to group 'adm'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to group 'dip'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to group 'video'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to group 'plugdev'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to group 'google-sudoers'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to shadow group 'adm'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to shadow group 'dip'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to shadow group 'video'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to shadow group 'plugdev'
Sep 29 04:18:57 node1 usermod[11241]: add 'gke-b230f34ceeb7c905fdb6' to shadow group 'google-sudoers'

Подозреваю, что это какая-то внутренняя штука из Google Cloud. Брандмауэр не разрешает SSH-соединения за пределами моих авторизованных IP-адресов. По какой причине появляются эти пользователи?

Спасибо за все.


google-cloud-platform google-kubernetes-engine google-compute-engine
person mdarnp    schedule 29.09.2016    source источник
comment
Кажется, что GKE имеет отношение к Container Engine. Вы этим пользуетесь?   -  person Will Hayworth    schedule 05.10.2016
comment
Да, я использую, но то же самое появляется в обычных экземплярах Debian. Не понимаю почему, если речь идет об автоматизации гугла или в чем причина. Спасибо.   -  person mdarnp    schedule 07.10.2016

Ответы (1)


arrow_upward
4
arrow_downward

Когда в вашем проекте создается кластер GKE, он также добавляет связанный с ним SSH-ключ в метаданные проекта. Эти ключи SSH можно отобразить, перейдя в консоль Google Cloud -> Compute Engine -> Метаданные -> Ключи SSH.

SSH-ключи для всего проекта, например те, которые созданы во время развертывания кластеров GKE, передаются всем экземплярам в вашем проекте, если только экземпляр не определен для работы с определенные ключи. Эти ключи копируются в домашний каталог каждой виртуальной машины для каждого пользователя (/home/user/.ssh). При удалении развертывания GKE ключ SSH удаляется из метаданных. Ключи, удаленные из метаданных, также удаляются из /home/user/.ssh/authorized_keys. Тем не менее, домашний каталог пользователей на виртуальных машинах не удаляется.

person Carlos    schedule 12.10.2016
comment
В той же документации, которую вы приложили, в конце есть раздел, в котором объясняется, как заблокировать распространение ключей SSH. Спасибо! - person mdarnp; 19.10.2016
comment
какова цель этого? Для чего нужен ssh-ключ кластера? кластер не загружается в экземпляры gce. - person red888; 05.11.2020
comment
Ключи SSH используются для создания туннелей между сервером API и узлами. Здесь есть некоторая документация - person Carlos; 20.11.2020