Rootless Kubernetes. Плюсы и минусы

Один из основных способов защиты Kubernetes-кластера от атаки злоумышленников — различные методы его разворачивания. Опишу методы разворачивания кластера в rootless- и SSHless-режимах.

Основное внимание уделю пакету podsec-k8s, позволяющему развернуть нативный Kubernetes-кластер версий 1.26 и выше в rootless-режиме.

В конце доклада речь пойдет о втором методе сокращения поверхности атаки — SSHless-кластере alt-orchestra (fork проекта Talos@SideroLabs).