Backup for GKE プレビュー エージェントの非推奨化


Backup for GKE エージェントには、クラスタ内のすべてのオブジェクトを読み書きするための完全な権限が必要です。

1.24 より古いバージョンの GKE クラスタで実行されているエージェントのバージョンは、2022 年 2 月にリリースされたプレビュー版であり、GKE ユーザー クラスタのワークロードとして実行されています。Pod hostpath マウントや SSH などにより、Backup for GKE Pod がスケジューリングされている基盤ノードに root 権限でアクセスできるユーザーまたはワークロードは、これらのクラスタ内 root 権限を取得できます。

ノードからクラスタへの昇格の脆弱性は、2022 年 11 月にリリースされたエージェントの一般提供(GA)バージョンで対処されています。GA エージェントは、GKE コントロール プレーンのアクセス不能ホストで実行され、GKE バージョン 1.24 以降を実行しているクラスタでのみ使用できます。ノードからクラスタへの昇格を防ぐには、バージョン 1.24 以降を実行している GKE クラスタに対してのみ Backup for GKE を実行することを強くおすすめします。

2023 年 4 月 27 日以降、プレビュー エージェントの新規インストールはブロックされます。