Der Backup for GKE-Agent benötigt uneingeschränkte Berechtigungen zum Lesen und Schreiben der einzelnen Objekte im Cluster.
Die Version des Agents, die in GKE-Clusterversionen vor 1.24 ausgeführt wird, ist eine Vorschauversion, die im Februar 2022 veröffentlicht wurde und als Arbeitslast im GKE-Nutzercluster ausgeführt wird. Nutzer oder Arbeitslasten mit Root-Zugriff auf den zugrunde liegenden Knoten, auf dem der Backup for GKE-Pod geplant wird, z. B. über Pod-Hostpfadbereitstellungen oder SSH, haben diese Root-in-Cluster-Berechtigungen.
Diese Sicherheitslücke der Knoten-zu-Cluster-Eskalation wird in der allgemein verfügbaren Version des Agents behoben, die im November 2022 veröffentlicht wurde. Der GA-Agent wird auf einem nicht zugänglichen Host in der GKE-Steuerungsebene ausgeführt und ist nur in Clustern mit GKE-Version 1.24 oder höher verfügbar. Um das Potenzial für eine Knoten-zu-Cluster-Eskalation zu vermeiden, empfehlen wir Ihnen dringend, Backup for GKE nur für GKE-Cluster mit Version 1.24 oder höher auszuführen.
Neue Installationen des Vorschau-Agents werden ab dem 27. April 2023 blockiert.