쿠버네티스 v1.33: 시크릿부터 서비스 어카운트까지:... 노트

쿠버네티스 v1.33: 시크릿부터 서비스 어카운트까지: 쿠버네티스 이미지 풀 에볼브

쿠버네티스는 API에 저장된 장기적인 자격 증명 의존도를 줄이기 위해 진화해왔으며, 대표적인 예가 쿠버네티스 서비스 계정 토큰을 정적 토큰에서 OpenID Connect 호환 의미 체계를 가진 임시 토큰으로 전환한 것입니다. 그러나 이미지 풀 인증에는 여전히 큰 격차가 존재하며, 쿠버네티스 클러스터는 현재 장기적인 이미지 풀 시크릿 또는 노드 수준의 kubelet 자격 증명 공급자에 의존하고 있습니다. 이는 보안 및 운영상의 문제를 야기하는데, 이미지 풀 시크릿은 순환하기 어렵고 손상될 경우 무단 이미지 접근으로 이어질 수 있기 때문입니다. 이를 해결하기 위해 쿠버네티스는 Kubelet 자격 증명 공급자를 위한 서비스 계정 토큰 통합을 도입하여 자격 증명 공급자가 파드별 서비스 계정 토큰을 사용하여 레지스트리 자격 증명을 얻을 수 있도록 합니다. 이 개선 사항은 장기적인 이미지 풀 시크릿의 필요성을 없애고 워크로드별 인증, 임시 자격 증명, 기존 쿠버네티스 인증 메커니즘과의 원활한 통합을 제공합니다. 새로운 접근 방식은 kubelet 자격 증명 공급자가 이미지 레지스트리 자격 증명을 가져올 때 워크로드 ID를 사용할 수 있도록 하여 보안, 세분화된 접근 제어 및 운영 단순성과 같은 이점을 제공합니다. 이 기능은 현재 알파 버전으로 제공되며 쿠버네티스 v1.34에서 베타 버전으로 출시될 예정이며, 캐싱 메커니즘 구현 및 자격 증명 공급자의 유연성 향상에 중점을 두고 추가 개발이 진행될 예정입니다. 사용자는 ServiceAccountTokenForKubeletCredentialProviders 기능 게이트를 활성화하고 서비스 계정 토큰을 인증에 사용하도록 자격 증명 공급자를 수정하여 이 기능을 사용해 볼 수 있습니다. 쿠버네티스 커뮤니티는 피드백을 환영하며 사용자가 쿠버네티스 슬랙의 SIG Auth 채널을 통해 이 기능 개발에 참여할 것을 권장합니다.