Один YAML до катастрофы: «детские» ошибки администраторов Kubernetes

[slonopotamus]

Я не понял. Ну допустим у меня торчит наружу порт 6443. Но разве через него по дефолту можно хоть что-то делать без аутентификации?

[Expurple]

В треде на hackernews есть пояснения

[Frankenstine]

Статья, судя по всему, не актуальна, опоздала примерно на год. В частности, system:anonymous уже нужно явно задавать, такая роль изначально просто отсутствует, и на всякие там /api/vi/pods будет ответ `forbidden: User "system:anonymous" cannot list resource`

Более веротяно проникновение в кластер через уязвимости в софте, частично защититься от чего позволяют политики securityContext для контейнеров, имеющих ингрессы, например allowPrivilegeEscalation: false, runAsNonRoot: true и readOnlyRootFilesystem: true, но об этом как раз ни единого слова.

[TimurTukaev]

В статье описывается то, с чем авторы столкнулись на практике во время своего последнего исследования кластеров в интернете. Видимо, не везде свежие версии K8s, и такие проблемы продолжают оставаться проблемами для такой категории кластеров.