Kubernetes 1.30: Запрет неавторизованного преобразования режимов томов переходит в общедоступный этап

В Kubernetes 1.30 стабилизирована функция, которая запрещает изменение режима тома PersistentVolumeClaim (PVC). При создании PVC из VolumeSnapshot оригинальный том должен иметь такой же режим, как и новый, чтобы предотвратить нарушения безопасности. Неправомочные пользователи не могут изменять режим тома, а авторизованные пользователи с доступом к VolumeSnapshotContents могут это делать, добавляя аннотацию к VolumeSnapshotContent. Для предварительно подготовленных VolumeSnapshotContents поле spec.sourceVolumeMode должно быть установленным в Filesystem или Block, в зависимости от режима оригинального тома. Kubernetes не будет запрещать изменение режима тома, если аннотация присутствует в VolumeSnapshotContent. Флаг prevent-volume-mode-conversion включен по умолчанию в external-provisioner v4.0.0 и external-snapshotter v7.0.0. Изменения режима тома будут отклонены при создании PVC из VolumeSnapshot, если не будут выполнены шаги для разрешения преобразования. Версии CSI external sidecar, поддерживающие эту функцию, можно найти в документах CSI. Для вопросов или проблем присоединяйтесь к Kubernetes в Slack (#csi или #sig-storage) или создайте issue в репозитории CSI external-snapshotter.