Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Standard
Der Backup for GKE-Agent benötigt uneingeschränkte Berechtigungen zum Lesen und Schreiben der einzelnen Objekte im Cluster.
Die Version des Agents, die in GKE-Clusterversionen vor 1.24 ausgeführt wird, ist eine Vorschauversion, die im Februar 2022 veröffentlicht wurde und als Arbeitslast im GKE-Nutzercluster ausgeführt wird. Nutzer oder Arbeitslasten mit Root-Zugriff auf den zugrunde liegenden Knoten, auf dem der Backup for GKE-Pod geplant wird, z. B. über Pod-Hostpfadbereitstellungen oder SSH, haben diese Root-in-Cluster-Berechtigungen.
Diese Sicherheitslücke der Knoten-zu-Cluster-Eskalation wird in der allgemein verfügbaren Version des Agents behoben, die im November 2022 veröffentlicht wurde. Der GA-Agent wird auf einem nicht zugänglichen Host in der GKE-Steuerungsebene ausgeführt und ist nur in Clustern mit GKE-Version 1.24 oder höher verfügbar.
Um das Potenzial für eine Knoten-zu-Cluster-Eskalation zu vermeiden, empfehlen wir Ihnen dringend, Backup for GKE nur für GKE-Cluster mit Version 1.24 oder höher auszuführen.
Ab dem 27. April 2023 werden neue Installationen des Preview-Agents blockiert.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-01 (UTC)."],[],[],null,["# Backup for GKE preview agent deprecation\n\nStandard\n\n*** ** * ** ***\n\n| **Note:** Starting on April 27th 2023, Backup for GKE will block the agent from being installed in clusters running a version of GKE earlier than 1.24. This change won't impact clusters already running the preview agent, but will block new installations.\n\nThe Backup for GKE [agent](/kubernetes-engine/docs/add-on/backup-for-gke/concepts/backup-for-gke#agent_overview)\nrequires full privileges to read and write every object in the cluster.\n\nThe version of the agent that runs in GKE cluster versions\nprior to 1.24 is a preview version released in February 2022 that runs as a\nworkload in the GKE user cluster. Users or workloads with root\naccess to the underlying node on which the Backup for GKE Pod is scheduled,\nsuch as through Pod hostpath mounts or SSH, can gain these root-in-cluster\nprivileges.\n\nThis node-to-cluster escalation vulnerability is addressed in the generally\navailable (GA) version of the agent, which was released in November 2022. The GA\nagent runs on an inaccessible host in the GKE control plane and\nis only available in clusters running GKE version 1.24 or later.\nTo avoid the potential for a node-to-cluster escalation, we highly recommend\nthat you run Backup for GKE **only for GKE clusters running\nversion 1.24 or later**.\n\nNew installations of the preview agent will be blocked starting on April 27th 2023."]]
