Kubernetes v1.36: User Namespaces in Kubernetes sind endlich GA

TL;DR

Kubernetes v1.36 hat die Unterstützung für User Namespaces in den Status “General Availability” (GA) überführt. Diese Funktion ermöglicht eine bessere Sicherheitsisolierung für Container, indem sie rootlose Arbeitslasten in Benutzer-Namensräumen ermöglicht, was neue Anwendungsfälle ohne die Notwendigkeit von vollständig privilegierten Containern eröffnet.

Kubernetes v1.36 bringt eine bedeutende Neuerung mit der Einführung von User Namespaces, die nun als stabil und für den produktiven Einsatz geeignet gelten. Diese Funktion ist ausschließlich für Linux-Betriebssysteme verfügbar und stellt einen wichtigen Fortschritt in der Sicherheitsarchitektur von Kubernetes dar. User Namespaces ermöglichen es, Container mit administrativen Rechten auszuführen, während sie gleichzeitig in einem isolierten Benutzer-Namensraum verbleiben. Dies bedeutet, dass bestimmte Privilegien, wie etwa CAP_NET_ADMIN, nur innerhalb des Containers gelten, ohne Auswirkungen auf den Host.

Ein zentrales Sicherheitsproblem bei Containern war bisher, dass Prozesse, die als root innerhalb eines Containers ausgeführt werden, auch auf dem Host als root betrachtet werden. Dies birgt das Risiko, dass ein Angreifer, der eine Schwachstelle im Kernel oder eine falsch konfigurierte Mount-Option ausnutzt, vollständigen Zugriff auf den Host erlangen kann. Die Einführung von User Namespaces zielt darauf ab, dieses Risiko zu minimieren, indem die Identität des Prozesses innerhalb des Containers isoliert wird.

Ein wesentlicher technologischer Fortschritt, der zur Stabilität dieser Funktion beigetragen hat, sind ID-mapped mounts, die in Linux 5.12 eingeführt wurden. Diese Technik ermöglicht es, die Dateibesitzrechte nicht auf der Festplatte zu ändern, sondern sie zur Zeit des Mountens transparent umzuwandeln. Dadurch wird die Notwendigkeit des rekursiven Änderns der Dateibesitzrechte vermieden, was insbesondere bei großen Volumes die Startleistung erheblich verbessert.

Die Implementierung von User Namespaces in Kubernetes v1.36 ist unkompliziert. Um diese Funktion zu nutzen, muss in der Pod-Spezifikation lediglich der Parameter hostUsers: false gesetzt werden. Dies erfordert keine Änderungen an den Container-Images oder komplexe Konfigurationen. Die Benutzeroberfläche bleibt dabei unverändert zu der, die bereits in der Alpha-Phase eingeführt wurde.

Zusammenfassend bietet Kubernetes v1.36 mit der Einführung von User Namespaces eine verbesserte Sicherheitsarchitektur, die es ermöglicht, Container mit administrativen Rechten zu betreiben, ohne die Sicherheit des Hosts zu gefährden. Die Funktion ist das Ergebnis jahrelanger Entwicklungsarbeit und stellt einen bedeutenden Schritt in der Weiterentwicklung von Kubernetes dar.