Kubernetes 1.30 : La prévention de la conversion de mode de volume non autorisée passe à la version générale

À partir de Kubernetes 1.30, la fonctionnalité empêchant la modification du mode de volume de la revendication de volume persistant (PVC) est maintenant stable. Lors de la création d'un PVC à partir d'un VolumeSnapshot, le mode de volume du volume original doit correspondre à celui du nouveau volume pour éviter les vulnérabilités de sécurité. Les utilisateurs non autorisés ne peuvent pas modifier le mode de volume, tandis que les utilisateurs autorisés ayant accès au contenu du VolumeSnapshot peuvent le faire en ajoutant une annotation au contenu du VolumeSnapshot. Pour les contenus de VolumeSnapshot pré-provisionnés, le champ spec.sourceVolumeMode doit être défini sur Filesystem ou Block, selon le mode du volume original. Kubernetes n'empêchera pas la conversion du mode de volume si l'annotation est présente sur le contenu du VolumeSnapshot. Le drapeau de fonctionnalité prevent-volume-mode-conversion est activé par défaut dans external-provisioner v4.0.0 et external-snapshotter v7.0.0. Les modifications du mode de volume seront rejetées lors de la création d'un PVC à partir d'un VolumeSnapshot si les étapes pour autoriser la conversion n'ont pas été suivies. Les versions des sidecars CSI externes prenant en charge cette fonctionnalité peuvent être trouvées dans les docs CSI. Pour les questions ou les problèmes, rejoignez Kubernetes sur Slack (#csi ou #sig-storage) ou créez un problème dans le répertoire du snapshotteur externe CSI.