O agente do Backup para GKE requer privilégios completos para ler e gravar cada objeto no cluster.
A versão do agente que é executada nas versões de cluster do GKE anteriores à 1.24 é uma versão de pré-lançamento lançada em fevereiro de 2022. Ela é executada como uma carga de trabalho no cluster de usuário do GKE. Os usuários ou as cargas de trabalho com acesso raiz ao nó subjacente em que o pod do Backup para o GKE está programado, como por meio de montagens de caminho do host de pod ou SSH, terão esses privilégios de raiz no cluster.
Essa vulnerabilidade de encaminhamento entre nós do cluster é resolvida na versão de disponibilidade geral (GA) do agente, lançada em novembro de 2022. O agente do GA é executado em um host inacessível no plano de controle do GKE e só está disponível em clusters que executam a versão 1.24 ou posterior do GKE. Para evitar a possibilidade de um encaminhamento de nó para cluster, é altamente recomendável executar o Backup para GKE apenas para clusters do GKE que executam a versão 1.24 ou posterior.
As novas instalações do agente de visualização serão bloqueadas a partir de 27 de abril de 2023.