背景介绍
DNS 篡改是一种常见的攻击手段或配置错误,它会导致域名被错误地解析到非预期的IP地址,从而在云容器引擎(CCE)环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景,帮助您检验集群的安全防护机制、验证监控告警的有效性,并评估业务在域名解析被劫持时的表现。
基本原理
通过修改本地DNS解析文件实现。
故障注入
1、纳管实例资源
导航至 故障演练 > 目标应用 > 应用资源 页面。
在资源类型页签中选择云容器引擎,然后单击添加资源。
在弹出的对话框中,勾选目标云容器引擎实例,单击确定。
在应用资源页面的云容器引擎列表中,找到您的目标集群,单击其操作列的节点列表。
在弹出的对话框中,单击添加节点。
勾选您希望进行故障演练的一个或多个节点,然后单击确定。
注意
当您首次对 CCE 集群执行演练时,系统会自动在该集群中安装演练探针(以 Deployment 和 DaemonSet 形式部署)。
您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息,并手动执行安装或更新操作。
2、编排演练任务
导航至 故障演练 > 目标应用 > 演练管理页面,单击新建演练。
在基本信息页面,按提示填写演练名称和描述,然后单击下一步。
在演练对象配置页面:
配置动作组:为动作组命名,资源类型选择云容器引擎节点。
添加实例:单击添加实例,勾选上一步中添加的云容器引擎节点实例。
添加故障动作:单击立即添加,在列表中选择DNS篡改动作。
在弹出的参数配置框中,配置所需参数,然后单击确定。
持续时间:故障动作持续时间。
域名:待篡改的目标域名。
映射IP:将目标域名解析到的IP地址。
3、配置全局策略
在全局配置页面,按需添加保护策略和监控指标。
配置完成后,单击完成按钮,创建演练任务。
4、发起故障注入
发起演练:在演练管理列表找到对应演练任务,单击操作列的执行演练,在新页面中点击发起新演练。
进入实验:系统将自动跳转到本次演练的运行详情页,或在演练执行记录列表点击对应执行实例的详情进入。
注入故障:在动作组中,找到DNS篡改动作卡片,单击执行。
查看日志:单击动作卡片本身,在右侧弹出的侧边栏中查看执行详情。
效果验证
在故障注入期间,您可以通过以下方式验证演练效果:
1、观测实例指标:
登录应用性能监控控制台,观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。
2、业务应用验证:
观察运行在目标节点上的业务 Pod,确认访问被篡改域名的流量是否已被重定向。
评估此重定向对业务功能造成的具体影响,例如页面无法访问、API调用失败或连接到错误的服务。
