Kubernetes终于实现了用户命名空间支持,但共享内核问题仍然存在

Kubernetes终于实现了用户命名空间支持,但共享内核问题仍然存在
The New Stack
The New Stack ·

Kubernetes在v1.36版本中推出了用户命名空间支持,这是一个Linux专属功能。它实现了在Kubernetes工作负载中的“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。通过设置hostUsers: false,特权能力如CAP_NET_ADMIN被命名空间化,从而增强了安全性和性能。此功能经过多年开发,感谢所有贡献者的努力。

Kubernetes v1.36:Kubernetes中的用户命名空间终于达到正式发布
Kubernetes Blog
Kubernetes Blog ·

本文介绍了用户命名空间在无权限容器中的应用。通过创建用户命名空间,普通用户可以在自己的命名空间内获得root权限,而在宿主机上仍为普通用户。文章详细讲解了UID/GID映射的设置、newuidmap工具的使用以及Podman的实现架构。同时,讨论了无权限容器在网络、端口绑定和OverlayFS等方面的限制及安全性问题。

【从零造容器】User Namespace 与 Rootless 容器:不需要 root 也能跑
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
保护Kubernetes 1.33 Pods:用户命名空间隔离的影响

保护Kubernetes 1.33 Pods:用户命名空间隔离的影响
Cloud Native Computing Foundation
Cloud Native Computing Foundation ·
Kubernetes v1.33:默认启用用户命名空间!

Kubernetes v1.33:默认启用用户命名空间!
Kubernetes Blog
Kubernetes Blog ·
Kubernetes v1.33 在人工智能、安全性和企业应用方面的进展

Kubernetes v1.33 在人工智能、安全性和企业应用方面的进展
The New Stack
The New Stack ·
Kubernetes v1.33 预览

Kubernetes v1.33 预览
Kubernetes Blog
Kubernetes Blog ·
如何以无根模式运行Docker

如何以无根模式运行Docker
The New Stack
The New Stack ·

Linux 提供用户命名空间以隔离容器内的用户和组标识符(UID 和 GID),增强安全性。Kubernetes 1.30 将用户命名空间功能移至测试阶段,允许容器以 root 身份运行,但限制与主机的交互权限,从而降低容器突破的风险。该功能依赖于 Linux 6.3 及以上版本,支持 CRI-O 和 containerd。

Kubernetes 1.30:对带用户命名空间的 Pod 的测试支持
Kubernetes Blog
Kubernetes Blog ·

Kubernetes v1.30版本即将发布,带来动态资源分配、Linux节点内存交换支持、用户命名空间和结构化授权配置等重要更新。动态资源分配改善了资源管理,内存交换支持增强系统稳定性,用户命名空间提升Pod隔离,结构化授权配置实现更细粒度的请求验证。此外,基于容器资源指标的水平Pod自动扩缩功能也将稳定。

Kubernetes v1.30版本概览
Kubernetes Blog
Kubernetes Blog ·
👤 个人中心
在公众号发送验证码完成验证