L'agent Sauvegarde pour GKE nécessite des droits complets pour lire et écrire chaque objet du cluster.
La version de l'agent qui s'exécute dans les versions de cluster GKE antérieures à la version 1.24 est une version preview publiée en février 2022 qui s'exécute en tant que charge de travail dans le cluster d'utilisateur GKE. Les utilisateurs ou les charges de travail disposant d'un accès racine au nœud sous-jacent sur lequel le pod Sauvegarde pour GKE est planifié, par exemple via des installations de chemin d'accès au pod ou SSH, peuvent obtenir ces droits racine.
Cette faille d'élévation de privilèges du nœud au cluster est abordée dans la version en disponibilité générale de l'agent, qui a été publiée en novembre 2022. L'agent DG s'exécute sur un hôte inaccessible dans le plan de contrôle GKE et n'est disponible que dans les clusters exécutant GKE version 1.24 ou ultérieure. Pour éviter des risques potentiels liés à une élévation de privilèges du nœud au cluster, nous vous recommandons vivement d'exécuter Sauvegarde pour GKE uniquement pour les clusters GKE exécutant la version 1.24 ou ultérieure.
Les nouvelles installations de l'agent bêta seront bloquées à partir du 27 avril 2023.