Blog Kubernetes RSS
Suivre
Kubernetes v1.33 : La politique d'extraction d'image comme vous l'avez toujours imaginé !
La stratégie d'extraction d'image (imagePullPolicy) dans Kubernetes présente un comportement surprenant qui a été une faille de sécurité pendant plus de 10 ans, permettant aux pods d'accéder à des images authentifiées sans les fournir. La stratégie IfNotPresent permettait à un pod d'utiliser une image déjà présente sur un nœud, même si elle ne fournissait pas de crédentials pour extraire l'image. C'est une faille de sécurité car les pods sans crédentials peuvent accéder à des images privées. Dans Kubernetes v1.33, la stratégie IfNotPresent a été mise à jour pour s'assurer que les pods doivent fournir des crédentials pour utiliser une image privée déjà extraite. Le Kubelet vérifiera les crédentials du pod avant de lui permettre d'utiliser l'image. L'option imagePullPolicy: Never ne récupère pas les images, mais nécessite des crédentials pour utiliser une image déjà présente. L'option imagePullPolicy: Always a toujours fonctionné comme prévu, nécessitant une authentification pour chaque demande d'image. La nouvelle fonctionnalité utilise des caches persistants basés sur des fichiers sur chaque nœud pour vérifier les crédentials des pods. La fonctionnalité est basée sur l'enregistrement de l'intention d'extraire une image, l'extraction des crédentials et l'enregistrement des réussites des extractions. La fonctionnalité est disponible dans Kubernetes v1.33 et peut être activée en activant la porte de fonctionnalité KubeletEnsureSecretPulledImages.