Kubernetes v1.33: От секретов ... Заметка
RSS Блог о Kubernetes

Kubernetes v1.33: От секретов к учетным записям сервисов: Эволюция извлечений образов Kubernetes

Kubernetes развивается в направлении снижения зависимости от долгоживущих учетных данных, хранящихся в API, ярким примером чего является переход токенов Service Account Kubernetes со статических на эфемерные токены, соответствующие семантике OpenID Connect. Однако, серьезный пробел остается в аутентификации при извлечении образов, где кластеры Kubernetes в настоящее время полагаются на долгоживущие секреты для извлечения образов или провайдеров учетных данных kubelet на уровне узлов. Это создает проблемы с безопасностью и эксплуатацией, поскольку секреты для извлечения образов сложно ротировать, а их компрометация может привести к несанкционированному доступу к образам. Чтобы решить эту проблему, Kubernetes представляет интеграцию токенов Service Account для провайдеров учетных данных Kubelet, которая позволяет провайдерам учетных данных использовать токены service account, специфичные для пода, для получения учетных данных реестра. Это улучшение устраняет необходимость в долгоживущих секретах для извлечения образов и обеспечивает аутентификацию, специфичную для рабочей нагрузки, эфемерные учетные данные и бесшовную интеграцию с существующими механизмами аутентификации Kubernetes. Новый подход позволяет провайдерам учетных данных kubelet использовать идентификацию рабочей нагрузки при получении учетных данных реестра образов, предоставляя такие преимущества, как безопасность, гранулярный контроль доступа и простота эксплуатации. В настоящее время эта функция доступна в альфа-версии и, как ожидается, будет выпущена в бета-версии для Kubernetes v1.34, а дальнейшая разработка будет сосредоточена на реализации механизмов кэширования и повышении гибкости для провайдеров учетных данных. Пользователи могут опробовать эту функцию, включив feature gate ServiceAccountTokenForKubeletCredentialProviders и изменив своего провайдера учетных данных для использования токенов service account для аутентификации. Сообщество Kubernetes приветствует отзывы и призывает пользователей принять участие в разработке этой функции через канал SIG Auth в Kubernetes Slack.