Kubernetes v1.33: ユーザー・ネームスペース... ノート

Kubernetes v1.33: ユーザー・ネームスペースがデフォルトで有効化!

Kubernetes v1.33 では、ユーザー名前空間をデフォルトで有効にして、ポッドのセキュリティを強化しています。ユーザー名前空間は、Kubernetes 名前空間とは異なる Linux カーネル機能で、コンテナーの UID と GID をホストから分離します。この分離により、コンテナー間の横断移動を防ぎ、コンテナーが脱獄した場合でもホストのセキュリティを高めることができます。ユーザー名前空間を有効にすることで、特権操作を必要とするアプリケーションを実行することができますが、ホストに対するフルルートアクセスを許可する必要はありません。ポッドは、ポッド仕様で hostUsers: false を設定することでユーザー名前空間に参加します。この機能には、UID/GID マッピングを簡略化する Linux カーネル機能である idmap マウントをサポートするファイルシステムが必要です。カーネルバージョン 6.3 以降が推奨されますが、古いカーネルでも制限付きで動作する可能性があります。ユーザー名前空間は、コンテナーが侵害された場合でもホストに対するルート権限を防ぐことで、多くの CVE を緩和します。これにより、コンテナーの脱獄の影響を限定し、システム全体の保護を強化します。より深い理解と実装のための詳細情報やリソースが利用できます。