Kubernetes Blog
·
Kubernetes v1.33:精细化补充组控制升级至Beta
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
Kubernetes v1.33引入了补充组策略(supplementalGroupsPolicy)并升级为beta版本,提供更精确的容器补充组控制,增强安全性。新策略包括合并模式和严格模式,后者忽略容器镜像中的组信息,以防安全风险。
🎯
关键要点
- Kubernetes v1.33引入了补充组策略(supplementalGroupsPolicy),并升级为beta版本。
- 该策略提供更精确的容器补充组控制,增强安全性,特别是在访问卷时。
- 新策略包括合并模式和严格模式,严格模式忽略容器镜像中的组信息。
- 默认情况下,Kubernetes会将Pod中的组信息与容器镜像中的/etc/group信息合并。
- 合并的组信息可能导致安全风险,因为这些隐式GID无法被策略引擎检测。
- 补充组策略字段允许用户控制Kubernetes如何计算容器进程的补充组。
- 严格模式只附加在fsGroup、supplementalGroups或runAsGroup中指定的组ID。
- 该功能还暴露了容器第一个进程的附加进程身份,便于检查隐式组ID。
- 严格模式要求支持该功能的CRI运行时,支持的版本包括containerd v2.0及以上和CRI-O v1.31及以上。
- 在beta版本中,如果Pod的节点不支持严格模式,kubelet将拒绝该Pod。
- 升级时需注意,如果集群的CRI运行时不支持严格模式,可能会导致Pod被拒绝。
❓
延伸问答
Kubernetes v1.33中的补充组策略是什么?
补充组策略(supplementalGroupsPolicy)是Kubernetes v1.33引入的一项功能,允许更精确地控制容器的补充组,以增强安全性。
补充组策略的合并模式和严格模式有什么区别?
合并模式会将容器镜像中的组信息与Pod中的组信息合并,而严格模式则只使用指定的组ID,忽略容器镜像中的组信息。
为什么严格模式会增强Kubernetes的安全性?
严格模式通过忽略容器镜像中的隐式组信息,防止未授权的访问控制问题,从而增强了安全性。
如果Pod的节点不支持严格模式,会发生什么?
如果Pod的节点不支持严格模式,kubelet将拒绝该Pod,并显示警告事件,提示该节点不支持该策略。
如何检查节点是否支持补充组策略?
可以通过查看节点的.status.features.supplementalGroupsPolicy字段来检查节点是否支持补充组策略。
在升级Kubernetes时需要注意什么?
在升级时,如果使用严格模式但CRI运行时不支持该功能,可能会导致Pod被拒绝,因此需要提前确认CRI运行时的兼容性。
🏷️
标签
➡️
