Kubernetesマスターノードを展開するための多数の実行スルーには、--register-schedulable=falseを使用して、ユーザーポッドがマスターノードにスケジュールされないようにすることをお勧めします(例:https://coreos.com/kubernetes/docs/latest/deploy-master.html)。非常に小さなKubernetesクラスタでは、絶対的に必須でない限り、ノード全体がポッドスケジューリングに使用されるのを効果的に防止するために、計算リソースが多少無駄に見えます。Kubernetesマスターノードでユーザーポッドを実行する際に問題がありますか?
この質問(Will (can) Kubernetes run Docker containers on the master node(s)?)への答えは、マスターノード上のユーザーポッドを実行することが実際に可能であることを示唆している - が、これを可能に関連するすべての問題があるかどうか対応していません。
私は、これはマスターノード上のポッド(http://kubernetes.io/docs/admin/master-node-communication/とhttps://github.com/kubernetes/kubernetes/issues/13598を参照)安全でない通信と思われるということであることが可能に関連する問題があるかもしれません示唆して日付を見つけることができました情報のみ。私は、これが潜在的にマスターノード上で走っている不正なポッドが非マスターノード上のポッドに通常はアクセスできないKubernetes機能にアクセス/ハイジャックする可能性があると考えています。たぶん誰かがポッド/コンテナへのアクセスをハッキングし、それによってマスターノードにアクセスする可能性があるとは思うが、内部的に開発されたポッド/コンテナしか実行していないのではないだろうか。
このシナリオに関連して潜在的な危険性があると思われます(ユーザーポッドをKubernetesマスターノードで実行できるようにします)?そのような設定に関連するその他の潜在的な問題はありますか?