RSS Kubernetes 博客 关注 Kubernetes v1.36:无法删除的准入政策 Kubernetes 在 v1.36 版本中引入的基于清单的准入控制(manifest-based admission control),解决了集群引导阶段安全策略执行方面的漏洞。现有的基于 API 的准入控制存在安全隐患:策略是 API 对象,可以被删除,从而形成安全窗口期。这一新功能允许将准入 Webhook 和基于 CEL 的策略定义为文件,由 API 服务器在启动时加载。这确保了在响应任何请求之前策略即已生效,从而防止未经授权的修改。该功能在 AdmissionConfiguration 文件中通过 staticManifestsDir 字段指定包含策略 YAML 文件的目录。这些文件的名称必须以 .static.k8s.io 结尾,以将其与基于 API 的配置区分开来。该功能可保护准入配置本身免受删除或修改。对清单文件的更改会在运行时自动更新。API 服务器在启动期间执行严格的验证,并以原子方式处理运行时的更新。要实施此功能,需要启用 ManifestBasedAdmissionControlConfig 功能门控。 Kubernetes v1.36: Admission Policies That Can't Be Deleted kubernetes.io
staticManifestsDir字段指定包含策略 YAML 文件的目录。这些文件的名称必须以.static.k8s.io结尾,以将其与基于 API 的配置区分开来。该功能可保护准入配置本身免受删除或修改。对清单文件的更改会在运行时自动更新。API 服务器在启动期间执行严格的验证,并以原子方式处理运行时的更新。要实施此功能,需要启用 ManifestBasedAdmissionControlConfig 功能门控。