主人会知道k8s中工人/节点的数据吗？

Question

我尝试在云中部署一组k8s，有两种选择:主程序由云提供商信任或由自己维护。因此，我想知道托管的主人是否会泄露工人的数据？不久，主人会知道工人/节点的数据吗？

Answer 1

库伯奈特的抽象概念定义得很清楚，边界也很清楚。你必须首先理解卷的概念。按照这里的定义，

Kubernetes卷本质上是一个目录，所有在一个容器中运行的容器都可以访问它。与容器本地文件系统不同的是，在容器重新启动期间，以卷形式保存数据。

体积被附加到一个容器中，并且有几个卷的类型

您可以看到抽象的来源层。

​

主程序到集群通信

从主服务器(apiserver)到集群有两个主要的通信路径。第一个是从apiserver到kubelet进程，该进程在集群中的每个节点上运行。第二个是通过apiserver的代理功能从apiserver到任何节点、pod或服务。

另外，您应该检查CCM -云控制器管理器(CCM)概念(不要与二进制混淆)最初创建的目的是允许云特定的供应商代码和Kubernetes核心相互独立发展。云控制器管理器与其他主组件(如Kubernetes控制器管理器、API服务器和调度器)一起运行。它也可以作为Kubernetes的一个副词开始，在这种情况下，它运行在Kubernetes之上。

希望这能回答你所有与主访问工人数据有关的问题。

如果您仍在寻找更安全的方法，请检查11种方法(不)被Hacked攻击。

Answer 2

简短的回答:是的，控制飞机可以访问你所有的数据。

更长更现实的答案:也许不用担心。更有可能的是，任何对控制飞机的成功攻击都会像你自己运行它一样成功。GKE/AKS/EKS的确切内部细节有点模糊，但所有三家供应商都有大量运行多租户系统的经验，相信他们有足够的保护措施防止控制飞机上的租户之间的横向升级是不会疏忽的。