就我所见,目前还无法控制部署在Google管理的Kubernetes集群上的容器的Kubernetes API访问权限。所有容器都将一个令牌作为机密和环境变量挂载,并带有有关端点的信息。
我正在探索允许用户上传部署到集群中容器的代码的可能性,并且我想阻止访问API。请参阅:https://stackoverflow.com/a/30739416/270628。
要为群集启用ABAC或任何其他类型的控制,我必须通过GCP部署自己的Kubertenes群集。我想避免这样做。
那么,是否有可能防止这些秘密的增加或者在创建pod时删除这些秘密?如果是这样,有推荐的方法吗?
谢谢,
答案 0 :(得分:1)
您是否可以在未添加服务帐户的情况下创建容器(请参阅https://github.com/kubernetes/kubernetes/issues/16779)。如果您可以控制创建容器的yaml文件,则可以按照this advice在服务帐户的顶部安装64 61 74 61 - data
卷,以防止容器访问凭据。