Kubernetes v1.33 : Le contrôle... Note

Kubernetes v1.33 : Le contrôle précis des SupplementalGroups passe en version bêta

Kubernetes a introduit une nouvelle fonctionnalité appelée supplementalGroupsPolicy, qui permet un contrôle plus précis des groupes supplémentaires dans les conteneurs, améliorant ainsi la posture de sécurité et la transparence des détails UID/GID. Cette fonctionnalité est passée de la phase alpha à la phase bêta dans Kubernetes v1.33. Elle permet la mise en œuvre d'un contrôle plus précis des groupes supplémentaires dans les conteneurs, en particulier pour l'accès aux volumes. Par défaut, Kubernetes fusionne les informations de groupe du Pod avec les informations définies dans /etc/group dans l'image du conteneur, ce qui peut entraîner des risques de sécurité. Le champ supplementalGroupsPolicy dans le contexte de sécurité du Pod permet de contrôler la façon dont Kubernetes calcule les groupes supplémentaires pour les processus de conteneur au sein d'un Pod. La politique Strict ignore les appartenances aux groupes définies dans /etc/group pour l'utilisateur principal du conteneur, garantissant que seuls les ID de groupe spécifiés sont attachés en tant que groupes supplémentaires aux processus du conteneur. Cette fonctionnalité expose également l'identité du processus attaché au premier processus du conteneur via le champ .status.containerStatuses[].user.linux. La politique supplementalGroupsPolicy n'affecte que l'identité du processus initial, et un conteneur disposant de privilèges suffisants peut modifier son identité de processus. La politique Strict nécessite un runtime CRI qui prend en charge cette fonctionnalité, tel que containerd v2.0 ou ultérieur, et CRI-O v1.31 ou ultérieur.