RSS Kubernetes ブログ フォロー Kubernetes v1.34: イメージプル用のサービスアカウント トークン統合がベータ版に昇格 Kubernetes v1.34 は、Kubelet Credential Providers の Service Account Token Integration をベータ版に昇格させました。この強化により、資格情報プロバイダーは、長期のイメージ プル シークレットを置き換えるために、ワークロード固有のサービス アカウント トークンをレジストリ資格情報に使用できるようになります。ベータ版では、資格情報プロバイダー構成の必須の cacheType フィールドが導入されました。2 つのキャッシング戦略が利用可能です。トークンに結び付けられた資格情報の場合、Token を使用し、同じサービス アカウントを使用するすべてのポッドに有効な資格情報の場合、ServiceAccount を使用します。ベータ版では、ポッドが承認された ServiceAccounts を使用してプルされたイメージにのみアクセスできるようにすることで、セキュリティの分離が強化されます。このシステムは、ServiceAccount ID を追跡し、ポッドがキャッシュされたイメージを使用するときにそれを検証します。管理者は、ServiceAccounts を削除して再作成することで、イメージへのアクセスを取り消すことができます。この機能は、セキュアなトークン要求のためにサービス アカウント ノードの対象を制限することにも基づいています。ベータ機能を使用するには、Kubernetes v1.34 以降を使用し、資格情報プロバイダーを更新してください。アルファ版からの移行には、cacheType フィールドを追加し、キャッシング戦略を確認する必要があります。Kubernetes コミュニティは、この機能について、特に資格情報プロバイダー実装者からのフィードバックを求めています。さらに、将来のリリースでは、開発とフィードバックの収集を計画しています。 Kubernetes v1.34: Service Account Token Integration for Image Pulls Graduates to Beta kubernetes.io
cacheTypeフィールドが導入されました。2 つのキャッシング戦略が利用可能です。トークンに結び付けられた資格情報の場合、Tokenを使用し、同じサービス アカウントを使用するすべてのポッドに有効な資格情報の場合、ServiceAccountを使用します。ベータ版では、ポッドが承認された ServiceAccounts を使用してプルされたイメージにのみアクセスできるようにすることで、セキュリティの分離が強化されます。このシステムは、ServiceAccount ID を追跡し、ポッドがキャッシュされたイメージを使用するときにそれを検証します。管理者は、ServiceAccounts を削除して再作成することで、イメージへのアクセスを取り消すことができます。この機能は、セキュアなトークン要求のためにサービス アカウント ノードの対象を制限することにも基づいています。ベータ機能を使用するには、Kubernetes v1.34 以降を使用し、資格情報プロバイダーを更新してください。アルファ版からの移行には、cacheTypeフィールドを追加し、キャッシング戦略を確認する必要があります。Kubernetes コミュニティは、この機能について、特に資格情報プロバイダー実装者からのフィードバックを求めています。さらに、将来のリリースでは、開発とフィードバックの収集を計画しています。