volume и socket файл.
тим лид говорит "если у тебя два пода общаются без ssl шифрования то этот трафик можно поймать при дебаге кластера и прочитать - не безопасно, сделай ssl"
я не уверен что тим лид знает что трафика нет, что поды общаются через сокет. может кто-то предположить концепцию его мышления, что реально это уязвимость если поды окажутся на разных нодах и трафик пойдет в aws vpc и там этот трафик сможет поймать тот кто не имеет доступ в кубер, но имеет доступ в AWS?
тим лид в США, спросить его смогу только через 8 часов)
два контейнера в одном поде может быть? Или у тебя два пода через pvc волум общаются?
А зачем ты так делаешь?
а ты понял как он делает?
Концепт пахнет на PVC с RWX
Плохо пахнет
Потому и предложил другое решение
ну если мы все правильно поняли. Если у тебя rwx подмонтированный на две ноды. То все как бы зависит от реализации сетевого хранилища. Если там есть шифрование значит все шифровано, если нет. Значит трафик идет через сетевое хранилище на две ноды в открытом виде, и его можно прочитать
ну вот процесс nginx отправляют в socket трафик - его можно прочитать только находясь в поде, имея доступ в под, правильно? но если ты имеешь доступ в кубер, доступ в под - ты уже царь и бог ведь...
То ты можешь вытащить все ключи и вперед
Если у тебя есть доступ в кубер то ты уже в жопе
Скажи своему тимлиду, что инженеры авс могут снять снпешоты всех виртуалок и спокойно покопаться в них. Взяв все что угодно
поды общаются через трафик вполне себе
Обсуждают сегодня