Blog Kubernetes RSS
Suivre
Kubernetes v1.34 : L'intégration des jetons de compte de service pour les extractions d'images passe en Beta
Kubernetes v1.34 promeut l'intégration des jetons de compte de service pour les fournisseurs d'informations d'identification Kubelet en version bêta. Cette amélioration permet aux fournisseurs d'informations d'identification d'utiliser des jetons de compte de service spécifiques à la charge de travail pour les informations d'identification du registre, remplaçant les secrets d'extraction d'image à longue durée de vie. La version bêta introduit un champ cacheType obligatoire pour les configurations des fournisseurs d'informations d'identification. Deux stratégies de mise en cache sont disponibles : Token, pour les informations d'identification liées à la durée de vie du jeton, et ServiceAccount, pour les informations d'identification valables pour tous les pods utilisant le même compte de service. La version bêta fournit également une isolation de sécurité améliorée, garantissant que les pods ne peuvent accéder qu'aux images tirées à l'aide de leurs ServiceAccounts autorisés. Ce système suit l'identité du compte de service et la vérifie lorsqu'un module utilise une image mise en cache. Les administrateurs peuvent révoquer l'accès aux images en supprimant et en recréant les comptes de service. Cette fonctionnalité s'appuie sur la restriction de l'audience du nœud du compte de service pour les demandes de jetons sécurisés. Pour utiliser la fonctionnalité bêta, assurez-vous que Kubernetes v1.34 ou plus récent et mettez à jour les fournisseurs d'informations d'identification. La migration à partir de la version alpha nécessite l'ajout du champ cacheType et la révision des stratégies de mise en cache. La communauté Kubernetes souhaite recevoir des commentaires sur cette fonctionnalité, en particulier de la part des fournisseurs d'informations d'identification. Un développement plus poussé et la collecte de commentaires sont prévus pour les prochaines versions.