Kubernetes v1.33: よりきめ細かい Supp... ノート

Kubernetes v1.33: よりきめ細かい SupplementalGroups の制御がベータ版に移行

Kubernetesは、コンテナーの補助グループに対するより精密な制御を可能にする新機能「supplementalGroupsPolicy」を導入しました。これにより、セキュリティーのポストゥラとUID/GIDの詳細の透明性が向上します。この機能は、Kubernetes v1.33でアルファからベータに移しました。この機能により、コンテナーの補助グループに対するより精密な制御が可能になり、特にボリュームへのアクセスにおいて効果を発揮します。デフォルトでは、Kubernetesは、Podの情報とコンテナイメージの/etc/group内の情報をマージするため、セキュリティリスクが生じる可能性があります。PodのセキュリティコンテキストにあるsupplementalGroupsPolicyフィールドでは、Kubernetesがコンテナープロセス内の補助グループを計算する方法を制御することができます。Strictポリシーでは、コンテナーのプライマリユーザーのグループメンバーシップを/etc/groupから無視し、指定されたグループIDのみをコンテナープロセスに付加する補助グループとして確保します。また、コンテナーの最初のプロセスアイデンティティを.status.containerStatuses[].user.linuxフィールド経由で公開します。supplementalGroupsPolicyは、初期のプロセスアイデンティティにのみ影響を与え、十分な特権を持つコンテナーではプロセスアイデンティティを変更することができます。Strictポリシーでは、containerd v2.0以降やCRI-O v1.31以降のような、この機能をサポートするCRIランタイムが必要です。