部署Kubernetes主節點的許多運行建議您使用--register-schedulable=false
來阻止將用戶窗格安排到主節點(例如https://coreos.com/kubernetes/docs/latest/deploy-master.html)。在非常小的Kubernetes集羣中,除非絕對必要,否則有效地防止整個節點被用於pod調度看起來有點浪費計算資源。在Kubernetes主節點上運行用戶窗格有問題嗎?
對這個問題的回答(Will (can) Kubernetes run Docker containers on the master node(s)?)表明,確實有可能在主節點上運行用戶窗格 - 但並未解決是否存在與允許此問題相關的任何問題。
迄今爲止我所能找到的唯一信息表明可能存在與允許此問題相關的問題,那就是主節點上的pod看起來似乎不安全(請參閱http://kubernetes.io/docs/admin/master-node-communication/和https://github.com/kubernetes/kubernetes/issues/13598)。我假設這可能會允許在主節點上運行的流氓pod訪問/劫持Kubernetes功能,這些功能通常無法在非主節點上的pod上訪問。如果只運行內部開發的pod /容器,可能不會有什麼大不了的 - 儘管我猜測總有人有可能盜取對容器/容器的訪問權限,從而獲得對主節點的訪問權限。
這聽起來像是一種與此場景相關的潛在風險(允許用戶在Kubernetes主節點上運行)?是否還有與此類設置相關的其他潛在問題?