Backup for GKE 代理需要完整的权限才能读取和写入集群中的每个对象。
在版本低于 1.24 的 GKE 集群中运行的代理版本是 2022 年 2 月发布的预览版,此预览版作为 GKE 用户集群中的工作负载运行。 对已安排 Backup for GKE Pod 的底层节点具有 root 访问权限的用户或工作负载(例如通过 Pod 主机路径装载或 SSH)可获得这些集群内 root 权限。
此节点到集群的升级漏洞已在 2022 年 11 月发布的正式版 (GA) 代理中得到解决。正式版代理在 GKE 控制平面中无法访问的主机上运行,并且仅在运行 GKE 1.24 版或更高版本的集群中可用。为避免节点到集群的升级可能性,我们强烈建议您仅为运行 1.24 版或更高版本的 GKE 集群运行 Backup for GKE。
自 2023 年 4 月 27 日起,我们将禁止安装新的预览版代理。