kubernetes 如果容器环境变量包含加密的敏感信息,kubelet可能会打印敏感容器信息,

r6hnlfcb  于 6个月前  发布在  Kubernetes
关注(0)|答案(3)|浏览(63)

发生了什么?

当我将kubelet的日志级别设置为4,并且容器环境变量配置包含加密的敏感信息时。在启动容器后,kubelet会打印所有敏感的环境变量信息。
在Kubernetes 1.25中,代码位于文件kuberuntime_manager.go中的SyncPod方法中。
klog.V(4).InfoS("Creating container in pod", "containerType", typeName, "container", spec.container, "pod", klog.KObj(pod))

你期望会发生什么?

环境变量信息不应该在kubelet日志中打印,因为它可能包含敏感数据。

我们如何尽可能精确地重现它?

将kubelet的日志级别设置为4。向容器的环境变量中添加敏感信息。启动容器。在kubelet的日志文件中搜索“Creating container in pod”。

我们需要了解其他信息吗?

  • 无响应*

Kubernetes版本

$ kubectl version
# paste output here

云提供商

OS版本

# On Linux:
$ cat /etc/os-release
# paste output here
$ uname -a
# paste output here

# On Windows:
C:\> wmic os get Caption, Version, BuildNumber, OSArchitecture
# paste output here

安装工具

容器运行时(CRI)和版本(如果适用)

相关插件(CNI,CSI,...)和版本(如果适用)

相关问题