Kubernetes Blog
·
Kubernetes v1.36:Kubernetes中的用户命名空间终于达到正式发布
内容提要
Kubernetes在v1.36版本中推出了用户命名空间支持,这是一个Linux专属功能。它实现了在Kubernetes工作负载中的“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。通过设置hostUsers: false,特权能力如CAP_NET_ADMIN被命名空间化,从而增强了安全性和性能。此功能经过多年开发,感谢所有贡献者的努力。
关键要点
-
Kubernetes v1.36版本推出了用户命名空间支持,这是一个Linux专属功能。
-
该功能实现了在Kubernetes工作负载中的“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。
-
通过设置hostUsers: false,特权能力如CAP_NET_ADMIN被命名空间化,从而增强了安全性和性能。
-
ID映射挂载是该功能的关键,使得在挂载时内核可以透明地转换UID和GID,避免了对文件所有权的重写。
-
使用用户命名空间非常简单,只需在Pod规格中设置hostUsers: false,无需更改容器镜像或复杂配置。
-
该功能经过多年开发,感谢所有贡献者的努力,特别是对设计的贡献和早期采用者的支持。
延伸问答
Kubernetes v1.36版本中用户命名空间的主要功能是什么?
Kubernetes v1.36版本中用户命名空间的主要功能是实现“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。
如何在Kubernetes中启用用户命名空间?
在Kubernetes中启用用户命名空间只需在Pod规格中设置hostUsers: false,无需更改容器镜像或复杂配置。
用户命名空间如何增强Kubernetes的安全性?
用户命名空间通过将特权能力如CAP_NET_ADMIN命名空间化,允许在不影响主机的情况下对容器本地资源进行管理,从而增强了安全性。
ID映射挂载在用户命名空间中有什么作用?
ID映射挂载允许在挂载时内核透明地转换UID和GID,避免了对文件所有权的重写,从而提高了性能。
用户命名空间的开发历程是怎样的?
用户命名空间的开发历程经历了多年的努力,最早的Kubernetes增强提案(KEP)在10年前提出,过去6年中积极开发并最终在v1.36版本中正式发布。
使用用户命名空间有什么潜在的应用场景?
使用用户命名空间可以实现以特权运行工作负载,同时保持安全隔离,适用于需要高安全性的容器化应用场景。
