Kubernetes v1.33: Feingranular... Notiz

Kubernetes v1.33: Feingranulare Steuerung von SupplementalGroups wird Beta

Kubernetes hat eine neue Funktion namens supplementalGroupsPolicy eingeführt, die eine präzisere Steuerung von Supplemental Groups in Containern ermöglicht und so die Sicherheitslage und Transparenz von UID/GID-Details verbessert. Diese Funktion ist in Kubernetes v1.33 von Alpha zu Beta übergegangen. Die Funktion ermöglicht die Implementierung einer präziseren Steuerung von Supplemental Groups in Containern, insbesondere beim Zugriff auf Volumes. Standardmäßig führt Kubernetes Gruppeninformationen aus dem Pod mit Informationen zusammen, die in /etc/group im Container-Image definiert sind, was zu Sicherheitsrisiken führen kann. Das Feld supplementalGroupsPolicy im Sicherheitskontext des Pods ermöglicht die Steuerung, wie Kubernetes ergänzende Gruppen für Containerprozesse innerhalb eines Pods berechnet. Die Strict-Richtlinie ignoriert Gruppenmitgliedschaften, die in /etc/group für den primären Benutzer des Containers definiert sind, und stellt sicher, dass nur die angegebenen Gruppen-IDs als Supplemental Groups an die Containerprozesse angehängt werden. Diese Funktion macht auch die Prozessidentität, die an den ersten Containerprozess des Containers angehängt ist, über das Feld .status.containerStatuses[].user.linux verfügbar. Die supplementalGroupsPolicy beeinflusst nur die anfängliche Prozessidentität, und ein Container mit ausreichenden Berechtigungen kann seine Prozessidentität ändern. Die Strict-Richtlinie erfordert eine CRI-Laufzeitumgebung, die diese Funktion unterstützt, z. B. containerd v2.0 oder höher und CRI-O v1.31 oder höher.