Ritiro dell'agente di anteprima di Backup per GKE

---

L'agente di Backup per GKE richiede privilegi completi per leggere e scrivere ogni oggetto nel cluster.

La versione dell'agente eseguita nelle versioni del cluster GKE precedenti alla 1.24 è una versione di anteprima rilasciata a febbraio 2022 che viene eseguita come carico di lavoro nel cluster utente GKE. Gli utenti o i carichi di lavoro con accesso root al nodo sottostante su cui è pianificato il pod Backup per GKE, ad esempio tramite montaggi hostpath del pod o SSH, possono ottenere questi privilegi root nel cluster.

Questa vulnerabilità di escalation da nodo a cluster è stata risolta nella versione disponibile al pubblico generale (GA) dell'agente, rilasciata a novembre 2022. L'agente GA viene eseguito su un host inaccessibile nel control plane GKE ed è disponibile solo nei cluster che eseguono GKE versione 1.24 o successive. Per evitare il potenziale rischio di escalation da nodo a cluster, ti consigliamo vivamente di eseguire Backup per GKE solo per i cluster GKE che eseguono la versione 1.24 o successive.

Le nuove installazioni dell'agente di anteprima verranno bloccate a partire dal 27 aprile 2023.