Ritiro dell'agente anteprima di Backup per GKE


L'agente Backup for GKE richiede privilegi completi per leggere e scrivere ogni oggetto nel cluster.

La versione dell'agente eseguita nelle versioni del cluster GKE precedenti alla 1.24 è una versione di anteprima rilasciata a febbraio 2022 che viene eseguita come carico di lavoro nel cluster utente GKE. Gli utenti o i carichi di lavoro con accesso root al nodo sottostante su cui è pianificato il pod Backup per GKE, ad esempio tramite montaggi dei percorsi host dei pod o SSH, possono ottenere questi privilegi root-in-cluster.

Questa vulnerabilità dell'escalation da nodo a cluster viene gestita nella versione in disponibilità generale (GA) dell'agente, rilasciata a novembre 2022. L'agente GA viene eseguito su un host non accessibile nel piano di controllo GKE ed è disponibile solo nei cluster che eseguono GKE versione 1.24 o successiva. Per evitare la possibilità di un'escalation da nodo a cluster, ti consigliamo vivamente di eseguire Backup per GKE solo per i cluster GKE che eseguono la versione 1.24 o successive.

Le nuove installazioni dell'agente anteprima verranno bloccate a partire dal 27 aprile 2023.