标签: kubernetes persistent-volumes
比方说,一个吊舱已被盗用并安装了kubectl。它与包含敏感数据的持久卷位于同一名称空间中。该持久卷仅应由该命名空间中的其他容器挂载。攻击者可以部署一个新的Pod来装载该卷,然后从那里访问敏感信息。
有什么方法可以限制仅将体积安装到预期的容器上?更一般而言,如何保护对该卷的访问?