いくつかの重大な脆弱性が発見された後、Kubernetes はポッドを保護するためにユーザー名前空間を使用することを真剣に検討し始めました。さらに、より詳細なコンテナ拡張機能が提供されます。
著者 Joab Jackson の「 Kubernetes 1.30 Gets Better at Naming Things 」から翻訳。
パスポートを見せてください!
昨年 1 月のコンテナ漏洩の一般公開に続き、Kubernetes バージョン 1.30 では、より多くのセキュリティ チェックポイントが提供され、権限とアクセス制御が強化されました。不正なプロセスは、K8s で管理されるコンテナーとポッド内で匿名でローミングできなくなります。
KEP 24 (「AppArmor サポート」)のおかげで、Kubernetes コンテナーとポッドは、実行時にポリシーを強制する Linux セキュリティ モジュールであるAppArmorを通じて保護できます。アプリケーションがシステムに対して実行できることは、その構成ファイルに基づいて制限されます。
ユーザーはAPIを通じてAppArmor 構成ファイルを指定します。
この機能強化の提案は約 3 年前から存在しています。権限の強制は困難な作業です。
もう 1 つの機能強化: KEP 127 (「ユーザー名前空間のサポート」)のおかげで、ポッドにユーザー名を付けることができるようになりました。KEP 127 (「ユーザー名前空間のサポート」) は、このアクセス権の欠如の問題を悪用する一連の重大なコンテナーの脆弱性が1 月に発見された後、すぐに推進されました。
最新の Kubernetes リリースの責任者であるKat Cosgrove 氏は、この機能により「ポッドをより適切に分離できる」と述べました。
また、セキュリティ上の理由から、KEP 3488 (「アドミッション コントロールの CEL」) では、アドミッション コントロールのためのより豊富な表現言語が導入されており、コスグローブ氏は、これにより「あらゆるアクセス要求を評価するための、より動的で表現力豊かな力」が提供されると述べています。
「Kubernetes API では非常に複雑なポリシーを定義して適用できるため、パフォーマンスに影響を与えることなくセキュリティとガバナンスの機能を簡単に制御できるようになります。」
チームリーダー: 調整が必要です
このバージョンは「Uwbernetes」という愛称が付けられており、非常に従来型のものです。非推奨となった注目すべき機能はなく、非常にタイムリーなセキュリティ強化がいくつか提供されています。全体として、v1.30 では 45 の機能強化 (17 の安定版、18 のベータ版、10 のアルファ版) が行われます。
Cloud Native Computing Foundationの Kubernetes リリースのリーダーは、ちょっとした飼い猫のようなものだとコスグローブ氏は言いました。
「やるべき政治はたくさんある」。
コスグローブ氏は、9 人の直属部下と 35 人の直属部下を持つ大規模なチームを率いています。これらは 5 つの異なるサブチームにまたがり、世界中に分散しています。
Kubernetesの機能強化
Kubernetes の次のバージョンに機能を組み込むには、複数のハードルが伴います。
提案された機能は、Kubernetes Enhancement Proposal (KEP) として開始されました。特別利益団体は、次の版で考慮される KEP を後援する必要があります。推薦者は強化の凍結期間に入り、その後は新しい KEP は検討されなくなります。
候補はランダムな性質を持っているため、結果として得られる新機能のスタックは「完全なギャンブル」になる可能性があるとコスグローブ氏は述べた。コスグローブ氏は、機能強化の凍結期間後にコードの凍結期間が発効し、「この期間中に多くのKEPが放棄されることになる」と述べた。おそらく多くの人は、コードを運用レベルに移行するのが予想よりも手間がかかると感じています。
最新のラウンドでは、95 個の KEP が強化フリーズに入りましたが、コード フリーズに入ったのは 45 個のみでした。
「機能強化が凍結されている間、人々は自分の能力について非常に楽観的に考えています。それは問題ありません。それはまったく普通のことです。コード凍結中には現実に直面することになります。」とコスグローブ氏は語った。
テストはこの期間を通じて完了しており、次期バージョンのアルファ版とベータ版がいくつかリリースされている可能性があります (これらは広く使用されていません)。したがって、リリース候補は間もなくリリースされ始める予定です。
この調整作業がすべて完了した後、SIG はチームのリリース リーダーに、争いに戻る前に休憩をとるように依頼することがよくあります。
コスグローブ氏は「少し休暇を取る準備はできている」と語った。
Kubernetes 1.30: あなたは誰ですか?
セキュリティ以外にも、運用にニュアンスをもたらす機能があります。たとえば、KEP 1610 (「コンテナ リソースに基づくポッドの自動スケーリング」) は、コンテナ リソースの使用状況に基づいてポッドを自動的にスケーリングする機能をもたらします。
「これにより、ポッド全体の合計リソース使用量ではなく、個々のコンテナーのリソース使用量に基づいて自動スケーリングを構成できるようになります」と Cosgrove 氏は述べています。
この種の微調整は、たとえば、リソースを大量に消費する特定のコンテナーのニーズを満たすためにポッド全体をスケールする必要がなくなるため、クラウド コストの削減に役立ちます。
これは、データベース サービス プロバイダであるPerconaのグループ マネージャーであるSergey Pronin氏によって注目されました。
これまで、データベース システムは、データの制約により Kubernetes Pod オートスケーラーとうまく連携できませんでした。
「ストレージとコンピューティングを分離するデータテクノロジー(Neon、Xataなど)への関心が高まっているため、この機能によりユーザーは正しく拡張できるようになる可能性があります」とPronin氏は電子メールで述べた。
Pronin 氏はまた、KEP-4381「DRA: Structured Parameters」)を「k8s エコシステムへの非常に重要な追加」であると指摘しました。リソースをより適切に拡張するために使用されるもう 1 つの機能である動的リソース割り当ては、ポッドとポッド内のコンテナ間でリソースをリクエストおよび共有するための API を提供します。
これはv1.26 のアルファ機能として Kubernetes に追加されましたが、Kubernetes 1.30 で導入された構造化パラメーターが含まれているため、より使いやすくなっているようです。
ドキュメントには、「動的リソース割り当ての構造化パラメーターは、Kubernetes によって事前定義された特定の「構造化モデル」を使用して、ドライバーがリソース自体を管理できるようにするフレームワークを提供します。」と記載されています。
1990 年代生まれのプログラマーがビデオ移植ソフトウェアを開発し、1 年足らずで 700 万以上の利益を上げました。結末は非常に懲罰的でした。 高校生が成人式にオープンソースプログラミング言語を自作―ネチズンの鋭いコメント: 詐欺横行でRustDesk依存、国内サービスの タオバオ(taobao.com)は国内サービスを一時停止、ウェブ版の最適化作業を再開 Java最も一般的に使用されている Java LTS バージョンは 17 、Windows 11 は減少し続ける Open Source Daily | Google がオープンソースの Rabbit R1 を支持、Microsoft の不安と野心; Electricがオープンプラットフォームを閉鎖 AppleがM4チップをリリース GoogleがAndroidユニバーサルカーネル(ACK)を削除 RISC-Vアーキテクチャのサポート Yunfengがアリババを辞任し、将来的にはWindowsプラットフォーム用の独立したゲームを制作する予定この記事はYunyunzhongsheng ( https://yylives.cc/ ) で最初に公開されたもので、どなたでもご覧いただけます。