PD
не может чужой контейнер получить доступ. Ваши контейнеры живут на ваших ВМках и больше там ничего нет. ВМки для EKS - самые обычные ВМки которые не шарятся ни с кем
Хм, а где в Амазоне это написано?
Size: a a a
2020 November 26
OS
А какие?
runv, OSv и поверх них вышеупомянутый Firecracker, kata под k8s
PD
Ага, спасибо.
D
Хм, а где в Амазоне это написано?
в архитектуре EKS видимо. КОгда вы говорите кубу создать пул, то он создает виртуалки, на которые вы можете по SSH зайти, поставить туда все что вам надо и удалить все что надо (кроме агента куба конечно)
PD
Al T
ноды в случае Ec2 всегда только ваши, в случае с fargate там другой принцип - надо сначала посмотреть сертифицирован ли eks fargate для PCI DSS или нет
Если это гарантируется, то ок. Я не смог найти быстро в описании амазоновского кубера этих данных (но я вообще плохо в этом разбираюсь).
PD
в архитектуре EKS видимо. КОгда вы говорите кубу создать пул, то он создает виртуалки, на которые вы можете по SSH зайти, поставить туда все что вам надо и удалить все что надо (кроме агента куба конечно)
Ээ, он виртуалки создаёт или контейнеры?
D
EKS может менеджить и то и другое
D
правильней нарвеное сказать, что EKS поднимает ВМки, накатывает туда агент куба, а контейнеры менеджит уже куб
PD
Если надёжно, то он должен создать пул только моих виртуалок и на них поднять кластер контейнеров. И только в таком сценарии это PCI DSS compatible
D
примерно так и есть. Пул только ваш
PD
PD
(почему то раньше никто не мог мне это сказать)
D
я пытался)
D
есть на самом деле вариант с общими ВМками, но его, я согласен, в рамках секьюрных сервисов обсуждать не стоит
OS
Вот тут ещё в разделе Motivation куча ссылок, лень все копировать
PD
Ага. Я буду знать, если что ещн спрошу.
PD
есть на самом деле вариант с общими ВМками, но его, я согласен, в рамках секьюрных сервисов обсуждать не стоит
Ага, спасибо большое.
D
амазон кстати пытается дальше тему со своим системным софтом развивать. Они сделали новый дистрибутив линукса, из которого выпилили все, что не нужно для запуска контейнеров. Для легковесности и безопасности
https://github.com/bottlerocket-os/bottlerocket
https://github.com/bottlerocket-os/bottlerocket
OS
У Intel такое же