Kubernetes Blog
·
Kubernetes v1.35:细粒度补充组控制功能正式发布
内容提要
Kubernetes v1.35正式发布了细粒度补充组控制功能,增强了Linux容器安全性。新字段supplementalGroupsPolicy允许更精确地管理补充组,解决隐式组成员资格的安全风险,支持“合并”和“严格”两种策略,确保容器进程的组信息透明。
关键要点
-
Kubernetes v1.35正式发布了细粒度补充组控制功能,增强了Linux容器安全性。
-
新字段supplementalGroupsPolicy允许更精确地管理补充组,解决隐式组成员资格的安全风险。
-
支持“合并”和“严格”两种策略,确保容器进程的组信息透明。
-
隐式合并的组信息可能导致安全风险,无法被策略引擎检测或验证。
-
严格策略下,仅附加在fsGroup、supplementalGroups或runAsGroup中指定的组ID。
-
新特性还暴露了容器首个进程的附加进程身份,便于检查隐式组ID。
-
需要确保容器运行时支持该特性,以便实施严格策略。
-
建议集群管理员确保Pods准备好遵循严格行为,所有补充组在Pod规格中透明声明。
延伸解读
细粒度控制的安全性提升
Kubernetes v1.35引入的细粒度补充组控制功能,显著提升了Linux容器的安全性。通过新的supplementalGroupsPolicy字段,管理员可以更精确地管理容器的组信息,避免隐式组成员资格带来的安全风险。这一变化有助于确保容器在访问存储卷时的权限控制更加透明和可预测。
策略选择的重要性
新版本支持“合并”和“严格”两种策略,选择合适的策略对安全性至关重要。严格策略下,只有在Pod规格中明确声明的组ID会被附加,这减少了隐式组ID带来的潜在风险。集群管理员应仔细评估现有Pod的配置,以确保符合新的安全标准。
容器运行时的兼容性
实施严格的补充组策略需要确保容器运行时支持该特性。当前支持的运行时包括containerd和CRI-O,版本要求分别为v2.0及以上和v1.31及以上。管理员在升级集群时,需确认运行时的兼容性,以避免因不支持而导致的安全隐患。
延伸问答
Kubernetes v1.35的新功能是什么?
Kubernetes v1.35正式发布了细粒度补充组控制功能,增强了Linux容器的安全性。
supplementalGroupsPolicy字段的作用是什么?
supplementalGroupsPolicy字段允许更精确地管理补充组,解决隐式组成员资格的安全风险。
Kubernetes v1.35支持哪些补充组策略?
Kubernetes v1.35支持“合并”和“严格”两种补充组策略。
严格策略下,容器的组信息如何处理?
在严格策略下,仅附加在fsGroup、supplementalGroups或runAsGroup中指定的组ID,忽略容器镜像中的隐式组信息。
隐式组成员资格带来了什么安全风险?
隐式组成员资格可能导致安全风险,因为这些组ID无法被策略引擎检测或验证,可能引发意外的访问控制问题。
如何确保容器运行时支持新的补充组控制特性?
需要确保容器运行时版本支持该特性,例如containerd需为v2.0或更高版本,CRI-O需为v1.31或更高版本。
