Сегодня еще отдохнем немного от темы сканирования образов (думаю еще 1-2 поста и я закрою данную тему).
Сейчас мы поговорим о
Это
Но это также очень полезная штука и для атакующих (недобросовестных сотрудников и т.д.), которые проникли на
Сейчас мы поговорим о
Static Pods.Это
Pods, которые управляются не через Kubernetes API server, а kubelet на самой Node. В основном это нужно для служебных задач кластера, на пример, бустрапа чего-либо. Подробнее о них можно почитать в документации. Для запуска таких подов достаточно расположение YAML файл с описанием Pod по определенному пути и указанием на него в `kubelet.Но это также очень полезная штука и для атакующих (недобросовестных сотрудников и т.д.), которые проникли на
Node тем или иным способом (вариантов и способов хватает). Просто authentication token от kubelet атакующему может не хватить - на пример, чтобы создать Pod в kube-system namespace. Что делать? Выход: пойти в обход Kubernetes API server, с помощью Static pod ;)