Kubernetes v1.33: Точечный контроль дополнительных групп (SupplementalGroups) переходит в бета-версию.
Kubernetes представил новую функцию под названием supplementalGroupsPolicy, которая обеспечивает более точный контроль над дополнительными группами в контейнерах, улучшая безопасность и прозрачность деталей UID/GID. Эта функция перешла из альфа-версии в бета-версию в Kubernetes v1.33. Эта функция позволяет реализовать более точный контроль над дополнительными группами в контейнерах, особенно при доступе к томам. По умолчанию Kubernetes объединяет информацию о группах из Pod с информацией, определенной в /etc/group в образе контейнера, что может привести к рискам безопасности. Поле supplementalGroupsPolicy в контексте безопасности Pod позволяет контролировать, как Kubernetes рассчитывает дополнительные группы для процессов контейнеров внутри Pod. Политика Strict игнорирует членство в группах, определенное в /etc/group для основного пользователя контейнера, гарантируя, что только указанные идентификаторы групп будут прикреплены в качестве дополнительных групп к процессам контейнера. Эта функция также предоставляет информацию об идентификации процесса, прикрепленном к первому процессу контейнера контейнера, через поле .status.containerStatuses[].user.linux. supplementalGroupsPolicy влияет только на первоначальную идентификацию процесса, и контейнер с достаточными привилегиями может изменить свою идентификацию процесса. Политика Strict требует среду выполнения CRI, поддерживающую эту функцию, например, containerd v2.0 или более поздней версии, и CRI-O v1.31 или более поздней версии.
supplementalGroupsPolicy, которая обеспечивает более точный контроль над дополнительными группами в контейнерах, улучшая безопасность и прозрачность деталей UID/GID. Эта функция перешла из альфа-версии в бета-версию в Kubernetes v1.33. Эта функция позволяет реализовать более точный контроль над дополнительными группами в контейнерах, особенно при доступе к томам. По умолчанию Kubernetes объединяет информацию о группах из Pod с информацией, определенной в /etc/group в образе контейнера, что может привести к рискам безопасности. ПолеsupplementalGroupsPolicyв контексте безопасности Pod позволяет контролировать, как Kubernetes рассчитывает дополнительные группы для процессов контейнеров внутри Pod. ПолитикаStrictигнорирует членство в группах, определенное в /etc/group для основного пользователя контейнера, гарантируя, что только указанные идентификаторы групп будут прикреплены в качестве дополнительных групп к процессам контейнера. Эта функция также предоставляет информацию об идентификации процесса, прикрепленном к первому процессу контейнера контейнера, через поле.status.containerStatuses[].user.linux.supplementalGroupsPolicyвлияет только на первоначальную идентификацию процесса, и контейнер с достаточными привилегиями может изменить свою идентификацию процесса. ПолитикаStrictтребует среду выполнения CRI, поддерживающую эту функцию, например, containerd v2.0 или более поздней версии, и CRI-O v1.31 или более поздней версии.