Kubernetes Blog
·
Kubernetes v1.35:细粒度补充组控制功能正式发布
💡
原文英文,约1200词,阅读约需5分钟。
📝
内容提要
Kubernetes v1.35正式发布了细粒度补充组控制功能,增强了Linux容器安全性。新字段supplementalGroupsPolicy允许更精确地管理补充组,解决隐式组成员资格的安全风险,支持“合并”和“严格”两种策略,确保容器进程的组信息透明。
🎯
关键要点
- Kubernetes v1.35正式发布了细粒度补充组控制功能,增强了Linux容器安全性。
- 新字段supplementalGroupsPolicy允许更精确地管理补充组,解决隐式组成员资格的安全风险。
- 支持“合并”和“严格”两种策略,确保容器进程的组信息透明。
- 隐式合并的组信息可能导致安全风险,无法被策略引擎检测或验证。
- 严格策略下,仅附加在fsGroup、supplementalGroups或runAsGroup中指定的组ID。
- 新特性还暴露了容器首个进程的附加进程身份,便于检查隐式组ID。
- 需要确保容器运行时支持该特性,以便实施严格策略。
- 建议集群管理员确保Pods准备好遵循严格行为,所有补充组在Pod规格中透明声明。
❓
延伸问答
Kubernetes v1.35的新功能是什么?
Kubernetes v1.35正式发布了细粒度补充组控制功能,增强了Linux容器的安全性。
supplementalGroupsPolicy字段的作用是什么?
supplementalGroupsPolicy字段允许更精确地管理补充组,解决隐式组成员资格的安全风险。
Kubernetes v1.35支持哪些补充组策略?
Kubernetes v1.35支持“合并”和“严格”两种补充组策略。
严格策略下,容器的组信息如何处理?
在严格策略下,仅附加在fsGroup、supplementalGroups或runAsGroup中指定的组ID,忽略容器镜像中的隐式组信息。
隐式组成员资格带来了什么安全风险?
隐式组成员资格可能导致安全风险,因为这些组ID无法被策略引擎检测或验证,可能引发意外的访问控制问题。
如何确保容器运行时支持新的补充组控制特性?
需要确保容器运行时版本支持该特性,例如containerd需为v2.0或更高版本,CRI-O需为v1.31或更高版本。
🏷️
标签
➡️
