阻止从 Google Container Engine 中的容器访问 Kubernetes API

【问题标题】:Blocking access to the Kubernetes API from containers in Google Container Engine阻止从 Google Container Engine 中的容器访问 Kubernetes API
【发布时间】:2016-10-10 11:01:06
【问题描述】:

据我所知,目前尚无法从部署在 Google 管理的 Kubernetes 集群上的容器控制 Kubernetes API 访问。所有容器都获得一个作为秘密和环境变量挂载的令牌,其中包含有关端点的信息。

我正在探索允许用户上传部署到集群容器中的代码的可能性,并且我想阻止对 API 的访问。请参阅:https://stackoverflow.com/a/30739416/270628

要为集群启用 ABAC 或任何其他类型的控制,我必须通过 GCP 部署我自己的 Kubertenes 集群。我想避免这样做。

那么,是否有可能在创建 pod 时阻止这些秘密的安装或删除这些秘密?如果有,有推荐的方法吗?

谢谢,

【问题讨论】:

    标签: kubernetes google-kubernetes-engine


    【解决方案1】:

    您说得对,如果不添加服务帐户就无法创建 pod(请参阅https://github.com/kubernetes/kubernetes/issues/16779)。如果您可以控制创建 Pod 的 yaml 文件,则可以按照 this advice 在服务帐户顶部挂载 emptyDir 卷,以防止 Pod 访问凭据。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-06-03
      • 2017-03-26
      • 2016-06-01
      • 2020-10-03
      • 2017-04-07
      • 2017-04-26
      • 1970-01-01
      • 2017-04-30
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode