[英]Blocking access to the Kubernetes API from containers in Google Container Engine
據我所知,目前尚無法通過Google管理的Kubernetes集群上部署的容器來控制Kubernetes API的訪問。 所有容器都會獲得一個作為秘密和環境變量安裝的令牌,以及有關端點的信息。
我正在探索允許用戶上傳部署到集群中容器中的代碼的可能性,並且我想阻止對API的訪問。 參見: https : //stackoverflow.com/a/30739416/270628
要為集群啟用ABAC或任何其他類型的控件,我將必須通過GCP部署自己的Kubertenes集群。 我想避免這樣做。
因此,是否有可能防止這些秘密的安裝或在吊艙創建時刪除那些秘密? 如果是這樣,有沒有建議的方法?
謝謝,
您是正確的,沒有添加服務帳戶就無法創建Pod(請參閱https://github.com/kubernetes/kubernetes/issues/16779 )。 如果您可以控制創建emptyDir
的yaml文件,則可以按照以下建議在服務帳戶頂部安裝emptyDir
卷,以防止容器訪問憑據。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.