Kubernetes Blog
·
Kubernetes v1.35:向CSI驱动程序传递服务账户令牌的更好方法
💡
原文英文,约1100词,阅读约需4分钟。
📝
内容提要
Kubernetes v1.35引入了一种新机制,通过Secrets字段传递服务账户令牌,解决了令牌在volume_context中泄露的问题。CSI驱动程序可选择使用此方法,以提高安全性并避免记录敏感信息。
🎯
关键要点
- Kubernetes v1.35引入了一种新机制,通过Secrets字段传递服务账户令牌,解决了令牌在volume_context中泄露的问题。
- CSI驱动程序可以选择使用此方法,以提高安全性并避免记录敏感信息。
- 现有的TokenRequests功能允许CSI驱动程序请求服务账户令牌,但通过volume_context字段传递并不理想。
- CSI驱动程序需要实现自己的清理逻辑,导致不同驱动程序之间的不一致性。
- Kubernetes v1.35引入的选择机制允许CSI驱动程序选择接收服务账户令牌的方式。
- CSI驱动程序可以在其CSIDriver规格中设置新字段以选择Secrets交付。
- CSIServiceAccountTokenSecrets功能门控默认启用,但默认情况下不改变现有行为。
- CSI驱动程序作者需要添加回退逻辑,以兼容旧的和新的令牌接收方式。
- 在集群中启用此功能时,需要遵循特定的顺序以避免破坏现有卷。
- 采用此功能可以消除意外记录服务账户令牌的风险,并使用CSI规范指定的字段处理敏感数据。
- Kubernetes SIG Storage鼓励CSI驱动程序作者采用此功能,并提供迁移体验的反馈。