Kubernetes Blog
·
Kubernetes v1.36:Kubernetes中的用户命名空间终于达到正式发布
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
Kubernetes在v1.36版本中推出了用户命名空间支持,这是一个Linux专属功能。它实现了在Kubernetes工作负载中的“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。通过设置hostUsers: false,特权能力如CAP_NET_ADMIN被命名空间化,从而增强了安全性和性能。此功能经过多年开发,感谢所有贡献者的努力。
🎯
关键要点
- Kubernetes v1.36版本推出了用户命名空间支持,这是一个Linux专属功能。
- 该功能实现了在Kubernetes工作负载中的“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。
- 通过设置hostUsers: false,特权能力如CAP_NET_ADMIN被命名空间化,从而增强了安全性和性能。
- ID映射挂载是该功能的关键,使得在挂载时内核可以透明地转换UID和GID,避免了对文件所有权的重写。
- 使用用户命名空间非常简单,只需在Pod规格中设置hostUsers: false,无需更改容器镜像或复杂配置。
- 该功能经过多年开发,感谢所有贡献者的努力,特别是对设计的贡献和早期采用者的支持。
❓
延伸问答
Kubernetes v1.36版本中用户命名空间的主要功能是什么?
Kubernetes v1.36版本中用户命名空间的主要功能是实现“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。
如何在Kubernetes中启用用户命名空间?
在Kubernetes中启用用户命名空间只需在Pod规格中设置hostUsers: false,无需更改容器镜像或复杂配置。
用户命名空间如何增强Kubernetes的安全性?
用户命名空间通过将特权能力如CAP_NET_ADMIN命名空间化,允许在不影响主机的情况下对容器本地资源进行管理,从而增强了安全性。
ID映射挂载在用户命名空间中有什么作用?
ID映射挂载允许在挂载时内核透明地转换UID和GID,避免了对文件所有权的重写,从而提高了性能。
用户命名空间的开发历程是怎样的?
用户命名空间的开发历程经历了多年的努力,最早的Kubernetes增强提案(KEP)在10年前提出,过去6年中积极开发并最终在v1.36版本中正式发布。
使用用户命名空间有什么潜在的应用场景?
使用用户命名空间可以实现以特权运行工作负载,同时保持安全隔离,适用于需要高安全性的容器化应用场景。
🏷️
标签
➡️
