RBAC-Berechtigungen für Systemkomponenten

GKE on VMware stellt Pods auf Ihren Knoten bereit, die erhöhte Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) haben, z. B. die Möglichkeit, alle Deployments zu ändern und alle Cluster-Secrets zu lesen. Diese Berechtigungen sind erforderlich, damit GKE on VMware ordnungsgemäß funktioniert.

Die folgenden Komponenten haben erhöhte RBAC-Berechtigungen:

  • gke-connect-agent
  • ais
  • coredns-autoscaler
  • kube-proxy
  • calico-node
  • anet-operator
  • Metall
  • cluster-health-controller
  • gmsa-webhook
  • onprem-user-cluster-controller
  • gke-usage-metering
  • metrics-server