我尝试在云上部署一组k8,有两种选择:主机托管给云提供商或由我自己维护。 所以我想知道托管的主人是否会泄漏工人的数据? 不久,船长会知道工作人员/节点上的数据吗?
答案 0 :(得分:1)
Kubernetes中的抽象定义非常清晰,界限清晰。您必须首先了解卷的概念。根据{{3}}的定义
Kubernetes卷实质上是所有人都可以访问的目录 容器中运行的容器。与本地容器相反 文件系统中,卷中的数据跨容器保留 重新启动。
卷附加到一个容器中的容器上,有多个here
您可以看到抽象层types of volumes source
主机到群集的通信
从主服务器(apiserver)到群集有两条主要通信路径。第一个是从apiserver到在集群中每个节点上运行的kubelet进程。第二个是通过apiserver的代理功能从apiserver到任何节点,pod或服务。
此外,您应该检查-云控制器管理器(CCM)概念(不要与二进制代码混淆)最初是为了允许特定于云的供应商代码和Kubernetes核心相互独立发展而创建的。 。云控制器管理器与其他主要组件(例如Kubernetes控制器管理器,API服务器和调度程序)一起运行。它也可以作为Kubernetes插件启动,在这种情况下,它可以在Kubernetes之上运行。
希望这可以回答您所有与Master访问Workers数据有关的问题。
如果您仍在寻找更安全的方法,请选中the CCM
答案 1 :(得分:0)
简短的回答:是的,控制平面可以访问您的所有数据。
更长更现实的答案:也许不用担心。对控制平面的任何成功攻击都很有可能像您自己在运行一样成功。 GKE / AKS / EKS的确切内部细节有些模糊,但是所有这三个提供程序都具有运行多租户系统的丰富经验,并且可以信任他们有足够的保护措施来防止租户之间的横向升级,这并不疏忽在控制平面上。