Блокирование доступа к API Kubernetes из контейнеров в Google Container Engine

Question

Насколько я мог видеть, пока не удается контролировать доступ к API Kubernetes из контейнеров, развернутых в кластере Kubernetes, управляемого Google. Все контейнеры получают токен, установленный как секретный и переменный среды с информацией о конечной точке.

Я изучаю возможность предоставления пользователям загружать код, который развертывается в контейнерах в кластере, и я хотел бы заблокировать доступ к API. См.: https://stackoverflow.com/a/30739416/270628.

Чтобы включить ABAC или любой другой тип управления для кластера, мне пришлось бы развернуть мой собственный кластер Kubertenes через GCP. Я бы не хотел этого делать.

Итак, можно ли предотвратить установку этих секретов или, возможно, удалить эти секреты при создании контейнера? Если да, есть ли рекомендуемый способ?

Спасибо,

Answer 1

Вы правы, что это не представляется возможным создать стручок без учетной записи службы добавляются (см https://github.com/kubernetes/kubernetes/issues/16779). Если у вас есть контроль над файлами yaml, которые создают контейнеры, вы можете следовать за this advice, чтобы смонтировать том emptyDir поверх учетной записи службы, чтобы предотвратить возможность доступа к учетным данным.