Blog Kubernetes RSS
Suivre
Kubernetes v1.33 : Des Secrets aux Comptes de Service : L'évolution des Pull d'Images Kubernetes
"Kubernetes évolue pour réduire sa dépendance aux identifiants de longue durée stockés dans l'API, avec un exemple notable étant la transition des jetons de compte de service Kubernetes (Service Account tokens) de jetons statiques à des jetons éphémères avec une sémantique conforme à OpenID Connect. Cependant, une lacune majeure subsiste dans l'authentification de l'extraction d'images (image pull), où les clusters Kubernetes s'appuient actuellement sur des secrets d'extraction d'images de longue durée ou sur des fournisseurs d'identifiants kubelet au niveau du nœud. Cela présente des défis de sécurité et opérationnels, car les secrets d'extraction d'images sont difficiles à faire tourner (rotation) et leur compromission peut entraîner un accès non autorisé aux images. Pour résoudre ce problème, Kubernetes introduit l'intégration des jetons de compte de service pour les fournisseurs d'identifiants Kubelet (Service Account Token Integration for Kubelet Credential Providers), qui permet aux fournisseurs d'identifiants d'utiliser des jetons de compte de service spécifiques aux pods pour obtenir des identifiants de registre. Cette amélioration élimine le besoin de secrets d'extraction d'images de longue durée et fournit une authentification spécifique à la charge de travail, des identifiants éphémères et une intégration transparente avec les mécanismes d'authentification Kubernetes existants. La nouvelle approche permet aux fournisseurs d'identifiants kubelet d'utiliser l'identité de la charge de travail (workload identity) lors de la récupération des identifiants du registre d'images, offrant des avantages tels que la sécurité, un contrôle d'accès granulaire et une simplicité opérationnelle. La fonctionnalité est actuellement disponible en alpha et devrait être livrée en version bêta pour Kubernetes v1.34, avec un développement ultérieur axé sur la mise en œuvre de mécanismes de mise en cache et l'amélioration de la flexibilité pour les fournisseurs d'identifiants. Les utilisateurs peuvent essayer la fonctionnalité en activant le "feature gate" ServiceAccountTokenForKubeletCredentialProviders et en modifiant leur fournisseur d'identifiants pour utiliser les jetons de compte de service pour l'authentification. La communauté Kubernetes accueille les commentaires et encourage les utilisateurs à s'impliquer dans le développement de cette fonctionnalité via le canal SIG Auth sur Kubernetes Slack."