쿠버네티스가 supplementalGroupsPolicy라는 새로운 기능을 도입하여 컨테이너 내 보조 그룹에 대한 더 정밀한 제어를 가능하게 하고, 보안 태세를 강화하며 UID/GID 정보의 투명성을 높였습니다. 이 기능은 쿠버네티스 v1.33에서 알파에서 베타로 승격되었습니다. 이 기능을 통해 특히 볼륨 접근 시 컨테이너 내 보조 그룹에 대한 더 정밀한 제어를 구현할 수 있습니다. 기본적으로 쿠버네티스는 파드에서 가져온 그룹 정보를 컨테이너 이미지의 /etc/group에 정의된 정보와 병합하는데, 이로 인해 보안 위험이 발생할 수 있습니다. 파드의 보안 컨텍스트에 있는 supplementalGroupsPolicy 필드를 사용하면 쿠버네티스가 파드 내 컨테이너 프로세스의 보조 그룹을 계산하는 방식을 제어할 수 있습니다. Strict 정책은 컨테이너의 기본 사용자에 대해 /etc/group에 정의된 그룹 멤버십을 무시하고, 지정된 그룹 ID만 컨테이너 프로세스에 보조 그룹으로 연결되도록 보장합니다. 또한 이 기능은 .status.containerStatuses[].user.linux 필드를 통해 컨테이너의 첫 번째 컨테이너 프로세스에 연결된 프로세스 ID를 노출합니다. supplementalGroupsPolicy는 초기 프로세스 ID에만 영향을 미치며, 충분한 권한을 가진 컨테이너는 프로세스 ID를 변경할 수 있습니다. Strict 정책은 containerd v2.0 이상, CRI-O v1.31 이상과 같이 이 기능을 지원하는 CRI 런타임이 필요합니다.
supplementalGroupsPolicy라는 새로운 기능을 도입하여 컨테이너 내 보조 그룹에 대한 더 정밀한 제어를 가능하게 하고, 보안 태세를 강화하며 UID/GID 정보의 투명성을 높였습니다. 이 기능은 쿠버네티스 v1.33에서 알파에서 베타로 승격되었습니다. 이 기능을 통해 특히 볼륨 접근 시 컨테이너 내 보조 그룹에 대한 더 정밀한 제어를 구현할 수 있습니다. 기본적으로 쿠버네티스는 파드에서 가져온 그룹 정보를 컨테이너 이미지의/etc/group에 정의된 정보와 병합하는데, 이로 인해 보안 위험이 발생할 수 있습니다. 파드의 보안 컨텍스트에 있는supplementalGroupsPolicy필드를 사용하면 쿠버네티스가 파드 내 컨테이너 프로세스의 보조 그룹을 계산하는 방식을 제어할 수 있습니다.Strict정책은 컨테이너의 기본 사용자에 대해/etc/group에 정의된 그룹 멤버십을 무시하고, 지정된 그룹 ID만 컨테이너 프로세스에 보조 그룹으로 연결되도록 보장합니다. 또한 이 기능은.status.containerStatuses[].user.linux필드를 통해 컨테이너의 첫 번째 컨테이너 프로세스에 연결된 프로세스 ID를 노출합니다.supplementalGroupsPolicy는 초기 프로세스 ID에만 영향을 미치며, 충분한 권한을 가진 컨테이너는 프로세스 ID를 변경할 수 있습니다.Strict정책은 containerd v2.0 이상, CRI-O v1.31 이상과 같이 이 기능을 지원하는 CRI 런타임이 필요합니다.