阻止從Google Container Engine中的容器訪問Kubernetes API
[英]Blocking access to the Kubernetes API from containers in Google Container Engine
問題描述
據我所知,目前尚無法通過Google管理的Kubernetes集群上部署的容器來控制Kubernetes API的訪問。 所有容器都會獲得一個作為秘密和環境變量安裝的令牌,以及有關端點的信息。
我正在探索允許用戶上傳部署到集群中容器中的代碼的可能性,並且我想阻止對API的訪問。 參見: https : //stackoverflow.com/a/30739416/270628
要為集群啟用ABAC或任何其他類型的控件,我將必須通過GCP部署自己的Kubertenes集群。 我想避免這樣做。
因此,是否有可能防止這些秘密的安裝或在吊艙創建時刪除那些秘密? 如果是這樣,有沒有建議的方法?
謝謝,
1 個解決方案
解決方案1
1 2016-06-10 06:08:20
您是正確的,沒有添加服務帳戶就無法創建Pod(請參閱https://github.com/kubernetes/kubernetes/issues/16779 )。 如果您可以控制創建emptyDir的yaml文件,則可以按照以下建議在服務帳戶頂部安裝emptyDir卷,以防止容器訪問憑據。
Kubernetes集群從Google Container Engine中消失了
[英]Kubernetes cluster disappeared from Google Container Engine
容器引擎上來自Kubernetes的Google Compute Engine VM的DNS和路由
[英]DNS & Routing for Google Compute Engine VMs from Kubernetes on Container Engine
無法在Google容器引擎的Stackdriver中訪問Kubernetes指標
[英]Unable to access Kubernetes metrics in Stackdriver on Google container engine
在Kubernetes / Google容器引擎(GKE)上使用Stackdriver API進行日志記錄
[英]Logging using Stackdriver API on Kubernetes / Google Container Engine (GKE)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
撤消對谷歌容器引擎上的kubernetes群集的訪問權限
在Google Container Engine上訪問Kubernetes API
Kubernetes集群從Google Container Engine中消失了
從Kubernetes內的容器訪問Kubernetes API
容器引擎上來自Kubernetes的Google Compute Engine VM的DNS和路由
如何從 Kubernetes 引擎訪問 Google KMS?
無法在Google容器引擎的Stackdriver中訪問Kubernetes指標
在Kubernetes / Google容器引擎(GKE)上使用Stackdriver API進行日志記錄
Google容器引擎上的Kubernetes UI
Google容器引擎上的ScheduledJobs(kubernetes)
相關標簽