Kubernetes 1.30: 비인가된 볼륨 모드 변환 방지 기능이 GA로 이동

Kubernetes 1.30에서 PersistentVolumeClaim (PVC) 볼륨 모드를 수정하는 기능이 안정적으로 작동합니다. 볼륨 스냅샷에서 PVC를 생성할 때, 원래 볼륨의 볼륨 모드와 새로운 볼륨의 볼륨 모드가 일치해야 하며, 이를 통해 보안 취약성을 방지할 수 있습니다. 비인가 사용자는 볼륨 모드를 수정할 수 없지만, VolumeSnapshotContents에 액세스할 수 있는 권한이 있는 사용자는 볼륨 스냅샷 콘텐츠에 주석을 추가하여 이를 수행할 수 있습니다. 사전 할당된 VolumeSnapshotContents의 경우, spec.sourceVolumeMode 필드는 원래 볼륨의 모드에 따라 Filesystem 또는 Block으로 설정해야 합니다. Kubernetes는 볼륨 스냅샷 콘텐츠에 주석이 있으면 볼륨 모드 변환을 방지하지 않습니다. prevent-volume-mode-conversion 기능 플래그는 기본적으로 external-provisioner v4.0.0 및 external-snapshotter v7.0.0에서 활성화되어 있습니다. 볼륨 스냅샷에서 PVC를 생성할 때 볼륨 모드 변경이 허용되는 단계를 따르지 않았다면 볼륨 모드 변경이 거부됩니다. CSI 외부 사이드카 버전에서 이 기능을 지원하는 버전은 CSI 문서에서 찾을 수 있습니다. 질문이나 문제가 있으면 Kubernetes Slack (#csi 또는 #sig-storage)에서 가입하거나 CSI 외부 스냅샷터 저장소에서 이슈를 생성하세요.