перечитал ещё раз весь тред
вопрос: А ты правда знаешь как устроены внутри Control plane EKS, GKE, AKS?
ответ: <две ссылки>
комментарий: В твоей ссылке про GCE только "The Virtual Kubelet project from Microsoft" находится по поиску kubelet

ну да ладно, в AKS, например, это устроено так: ты заказываешь себе кубернетес, под это дело раскатывают виртуалку с контролплейном
до выхода из альфы на неё можно было даже по ssh придти
там был стандартный сетап вида: кубелет + манифесты в /етц/кубернетес/манифестс
в манифестах, понятное дело, подспеки для аписервера, контроллер-манагера, шедулера и етцд
статик-поды в их незамутнённом виде: https://kubernetes.io/docs/tasks/configure-pod-container/static-pod/
ну, короче, как это кубеадм делает (возможно, это он и был, деплой скриптов я не щупал)
а дальше наливаются уже "воркеры" - виртуалки с кубелетом и кубе-прокси, у которых в --server внутренний адрес виртуалки с контролплейном

конец истории

Вопрос в том, есть ли kubelet на Control plane у облачных провайдеров. Вот с этого началось

сомневаюсь, что у остальных это сильно по-другому

дык, фиксы в кубернетес они делают чисто от любви к искусству

я на всякий случай спрошу: суть вопроса-то в чём?
то есть это "гоняются ли юзерские поды на контролплейн-нодах? (ну то есть там --register-node, kube-proxy запущен)" или это просто вопрос в вакууме "а есть ли кубелет?"?

Вводная: kubelet на control plane небезопасно, но все так делают. Вопрос: делают ли так в облачных managed

небезопасно в каком контексте?

безопасных систем не бывает

что конкретно ты имеешь в виду?

Сначала была презентация по безопасности Кубера,
потом Вадим:
>don't run kubelet on control plane nodes
о да, только вот никто так не делает

И потом я влез )

И что-то я не вижу в презе такой цитаты.
Предлагаю не обсуждать вопрос архитектуры Control plane как неконструктивный. Достоверно про всех вендоров никто не знает, где-то реализация может поменяться

Конструктивнее будет обсудить презентацию

Подожди, так вопрос юзают ли они это глубоко в своей инфре - или в кластерах которые тебе дают?

Если второе то это тривиально проверить - запусти kubectl get nodes

А презентация такая себя, много fearmongering и Network Policies даже не упомянуты

Второе, но там нет нод Control Plane. Мамой клянусь. Короче мы даже друг друга не поняли и кипишь развели. Я предложил закрыть эту ветку и больше по презе говорить кому есть

если кубелет запущен без --register-node, то в гет нодес не засветится

хмм, может они так делают, да - но раз они теперь дают посмотреть аудит логи то можно найти их там ящитаю

в аудите тоже не найти