Kubernetes v1.33:イメージプルポリシーが、あ... ノート

Kubernetes v1.33:イメージプルポリシーが、あなたがいつも思っていた通りに機能するようになりました!

KubernetesのimagePullPolicyには、10年以上も問題となってきた驚くべき挙動があり、ポッドが認証情報なしで認証済みイメージにアクセスできるようになっていました。IfNotPresentポリシーでは、ポッドがノード上に既に存在するイメージを使用することができました。これは、たとえイメージの取得に認証情報を提供していなくてもです。これは、認証情報を持たないポッドがプライベートイメージにアクセスできるというセキュリティ上の問題となります。Kubernetes v1.33では、IfNotPresentポリシーが更新され、ポッドが以前にプルされたプライベートイメージを使用するには、認証情報を提供する必要があるようになりました。Kubeletは、イメージの使用を許可する前に、ポッドの認証情報を検証します。imagePullPolicy: Neverオプションはイメージを取得しませんが、既に存在するイメージを使用するには認証情報が必要です。imagePullPolicy: Alwaysオプションは常に意図したとおりに動作し、すべてのイメージリクエストに対して認証を要求していました。この新しい機能は、各ノードに永続的なファイルベースのキャッシュを使用して、ポッドの認証情報を検証します。この機能は、イメージのプルを意図したことを記録し、認証情報を抽出し、プルが成功したことを記録することに基づいています。この機能はKubernetes v1.33で使用可能であり、KubeletEnsureSecretPulledImagesフィーチャゲートを有効にすることで有効にできます。