El agente de copia de seguridad para GKE requiere privilegios completos para leer y escribir cada objeto en el clúster.
La versión del agente que se ejecuta en las versiones de clúster de GKE anteriores a la 1.24 es una versión de vista previa publicada en febrero de 2022 que se ejecuta como una carga de trabajo en el clúster de usuario de GKE. Los usuarios o las cargas de trabajo con acceso raíz al nodo subyacente en el que está programado el Pod de copia de seguridad para GKE, por ejemplo, mediante activaciones de la ruta de acceso del host del Pod o SSH, pueden obtener estos privilegios de usuario raíz en el clúster.
Esta vulnerabilidad de elevación de nodo a clúster se aborda en la versión de disponibilidad general (GA) del agente, que se lanzó en noviembre de 2022. El agente de GA se ejecuta en un host inaccesible en el plano de control de GKE y solo está disponible en clústeres que ejecutan la versión 1.24 de GKE o una posterior. A fin de evitar la posibilidad de una elevación de nodo a clúster, te recomendamos que ejecutes la Copia de seguridad para GKE solo para clústeres de GKE que ejecutan la versión 1.24 o una posterior.
Se bloquearán las instalaciones nuevas del agente de vista previa a partir del 27 de abril de 2023.