В настоящее время я работаю с развертыванием Hyperledger Fabric v1.4 поверх k8s. Создаваемые контейнеры цепного кода в основном создаются контейнером, работающим в одноранговых модулях, и k8s как таковой не знает и не контролирует контейнеры цепного кода. В таком сценарии, когда есть контейнер Docker, работающий вместе с k8s, а k8s не знает конкретного контейнера докеров, возможно ли для контейнера Docker каким-либо образом получить доступ к главному API k8s и получить доступ ко всему k8s кластер следовательно?
Я намерен задать этот вопрос, чтобы выяснить, есть ли способ использовать контейнер, внешний по отношению к любым модулям в k8s, чтобы вызвать нежелательное воздействие на кластер k8s путем получения несанкционированного доступа к k8s. Контейнер цепного кода, о котором я говорил, создается с использованием доверенного образа шаблона, и единственный возможный вредоносный компонент в контейнере - это один скрипт golang, java или nodejs, предоставляемый пользователем. Итак, мой реальный вопрос: возможно ли с помощью этих пользовательских скриптов получить несанкционированный доступ к кластеру k8s? И я в первую очередь сосредотачиваюсь на службе менеджера k8s, такой как служба Azure Kubernetes.