AC
Я просто смотрел Столярова как он рассказывал что можно легко получить доступ к хост машине в докере, и потому я исхожу из того как блокировать дальше
Size: a a a
2021 April 07
I
ну если у тя включено psp и нет контейнеров с рутом, а также прокинутых каталогов с хостовой ноды в контейнеры ... то имхо тока какая нить зиро дей поможет тебе пробиться на хостовую машинку из контейнера в остальном это все достаточно безопасно, просто нужно с самого начала все настроить правильно а не делать кубер некст некст некст
DS
Да с чего это легко то. Если ты там привелигораванные поды запускаешь то может быть. А с psp без рута, без особых прав на всякие hostPath, ну попробуй.
GG
не очень легко
GG
@identw еще сетевое взаимодействие остается
GG
ну напишешь ты псп - а у тебя кубе апи сервис доступен без аутентификации
I
+нетворк полиси - убедил )
GG
сервисные учетки еще остаются
DS
Ну понятное дело. Также kubelet'ы без авторизации открытые висят
DS
автомонтирование токена как минимум надо отключать
GG
короче - проблем много, но все решаемо
DS
угу, в том то и дело, надо решать. А не сразу защищиаться от рута на воркер ноде
TL
Благо, в инете достаточно инструкций, где кубелет получает нужные флаги, чтоб не висеть открытым
S
Коллеги, кто подскажет, gangway умеет с несколькими кластерами кубера работать? или нужно несколько gangway поднимать?
G
могу ли я уже в развернутом ingress controller поменять hostNetwork, пытаюсь поменять в деплойменте он ругается на некорректный синтаксис
GG
зачем тебе это
GG
выкинь его вообще нафиг
GG
можешь сделать patch deployment'у - это не запрещено правилами
S
к сожалению, не вариант. всеже интересны подробности, почему его нужно выкинуть