SELinux Volume Label Änderungen werden GA (und mögliche Auswirkungen in v1.37)

TL;DR

Die kommende Kubernetes-Version v1.37 wird voraussichtlich die SELinuxMount-Feature-Gate standardmäßig aktivieren, was die Einrichtung von Volumes beschleunigt. Diese Änderung könnte jedoch bestehende Anwendungen stören, die auf das alte rekursive Relabeling-Modell angewiesen sind, insbesondere bei der gemeinsamen Nutzung von Volumes zwischen privilegierten und unprivilegierten Pods.

Hauptinhalt

Kubernetes plant, in der Version v1.37 die SELinuxMount-Feature-Gate standardmäßig zu aktivieren. Dies wird die Performance bei der Einrichtung von Volumes für die meisten Workloads verbessern, kann jedoch zu Komplikationen führen, wenn Anwendungen weiterhin auf das frühere Modell des rekursiven Relabelings angewiesen sind. Insbesondere kann es Probleme geben, wenn ein Volume zwischen privilegierten und unprivilegierten Pods auf demselben Knoten geteilt wird.

Für Cluster, die SELinux nicht verwenden, bleibt alles unverändert, da der kubelet die SELinux-Logik überspringt, wenn SELinux im Linux-Kernel deaktiviert oder nicht verfügbar ist. Die aktuelle Version v1.36 von Kubernetes bietet eine Gelegenheit zur Überprüfung und gegebenenfalls Anpassung der Cluster-Konfiguration, um sich auf die bevorstehenden Änderungen vorzubereiten.

Historisch gesehen wendet der Container-Runtime SELinux-Labels auf Pods und deren Volumes an, indem er die Labels von den securityContext-Feldern des Pods an den Container-Runtime übergibt. Dieser Prozess kann zeitaufwendig sein, insbesondere bei großen Volumes oder bei Volumes, die sich auf einem Remote-Dateisystem befinden.

Eine wichtige Verbesserung besteht darin, dass der kubelet, wo immer möglich, das Volume mit der Option -o context=<label> mounten kann. Dadurch wird das korrekte Label für alle Inodes auf diesem Mount ohne rekursive Traversierung angewendet. Diese Funktionalität ist an bestimmte Bedingungen geknüpft, darunter die Unterstützung von SELinux durch das Betriebssystem und die Aktivierung der Feature-Gates.

Die Einführung dieser Änderungen erfolgt schrittweise. Zunächst wurden ReadWriteOncePod-Volumes unter dem SELinuxMountReadWriteOncePod-Feature-Gate behandelt, das seit v1.28 standardmäßig aktiviert ist und in v1.36 die allgemeine Verfügbarkeit erreicht hat. Die breitere Unterstützung erfolgt unter dem SELinuxMount-Flag, gekoppelt mit dem Feld spec.securityContext.seLinuxChangePolicy in Pods.

Um die Vorteile der neuen Mount-Methode zu nutzen, müssen mehrere Bedingungen erfüllt sein: Das Betriebssystem muss SELinux unterstützen, die Feature-Gates müssen aktiviert sein, und der Pod muss über eine gültige PersistentVolumeClaim mit den entsprechenden Zugriffsmodi verfügen. Andernfalls wird der Container-Runtime weiterhin rekursiv die SELinux-Labels auf die Volumes anwenden.

Technische Details/Implikationen

Die Aktivierung des SELinuxMount-Feature-Gates könnte signifikante Auswirkungen auf die Performance und Sicherheit von Kubernetes-Clustern haben. Insbesondere die Möglichkeit, Volumes ohne rekursive Relabeling-Prozesse zu mounten, kann die Geschwindigkeit von Deployments und die Reaktionsfähigkeit von Anwendungen erheblich verbessern. Gleichzeitig müssen Entwickler und Administratoren sicherstellen, dass ihre Anwendungen und Sicherheitskonfigurationen mit den neuen Anforderungen kompatibel sind, um potenzielle Störungen zu vermeiden.

Fazit/Ausblick

Die bevorstehenden Änderungen in Kubernetes v1.37 bieten sowohl Chancen zur Performance-Optimierung als auch Herausforderungen in Bezug auf die Kompatibilität bestehender Anwendungen. Eine sorgfältige Planung und Überprüfung der Cluster-Konfiguration wird empfohlen, um einen reibungslosen Übergang zu gewährleisten.