Kubernetes pods/exec
· 8 мин. чтения
Kubernetes pods/exec #
pods/exec — удобный способ выполнять команды внутри контейнера для отладки и администрирования. Но
вот вам сходу задача: как вы считаете, насколько безопасна вот такая роль в Kubernetes, которую можно выдать
любому пользователю, предположив абсурдную ситуацию, что ресурс Secret в кластере не используется?
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: test-role
rules:
- apiGroups: [""]
resources: ["*"]
verbs: ["get"]
Если вы ответили «безопасная», то вы не одиноки — и вы предоставили бы доступ к pods/exec любому
пользователю в кластере, конечно если бы создали сверху ClusterRolebinding.