Kubernetes 1.31: Präzise Kontrolle über Gruppenmitgliedschaften in Pods

Entdecken Sie, wie Kubernetes 1.31 die Verwaltung von Gruppenmitgliedschaften in Pods optimiert und was das für Ihre Anwendungen bedeutet.

Meta: ayedo Redaktion · 25.08.2024 · ⏳ 2 Minuten · Alle Blogs →

Kubernetes 1.31 bringt eine spannende neue Funktion mit sich, die die Handhabung von Gruppenmitgliedschaften in Containern innerhalb von Pods verbessert. Diese Änderung zielt darauf ab, die Kontrolle über Gruppenmitgliedschaften zu verfeinern und potenzielle Sicherheitsrisiken zu minimieren.

Was ändert sich konkret für Entwickler/DevOps-Teams?

Mit der Einführung des neuen Feldes supplementalGroupsPolicy im .spec.securityContext eines Pods wird die Art und Weise, wie Gruppenmitgliedschaften für Containerprozesse berechnet werden, optimiert. Entwickler und DevOps-Teams haben nun die Möglichkeit, zwischen zwei Politiken zu wählen:

  • Merge: Die Gruppenmitgliedschaften, die im /etc/group für den primären Benutzer des Containers definiert sind, werden zusammengeführt. Dies ist die Standardoption und sorgt für Rückwärtskompatibilität.
  • Strict: Nur die angegebenen Gruppen-IDs in den Feldern fsGroup, supplementalGroups oder runAsGroup werden als Gruppenmitgliedschaften der Containerprozesse angehängt. Gruppenmitgliedschaften aus /etc/group werden ignoriert.

Praktische Beispiele oder Anwendungsfälle

Nehmen wir an, wir haben einen Pod, der runAsUser=1000, runAsGroup=3000 und supplementalGroups=4000 im Sicherheitskontext definiert. Hier ein Beispiel, wie Sie einen Pod mit der Standard-Policy erstellen können:

apiVersion: v1
kind: Pod
metadata:
  name: implicit-groups
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    supplementalGroups:
      - 4000
  containers:
  - name: my-container
    image: my-image

Erstellen Sie den Pod mit: console $ kubectl apply -f https://k8s.io/blog/2024-08-22-Fine-grained-SupplementalGroups-control/implicit-groups.yaml

Überprüfen Sie, dass der Pod läuft: console $ kubectl get pod implicit-groups

Führen Sie den Befehl id im Container aus, um die Gruppenmitgliedschaften zu sehen: console $ kubectl exec implicit-groups – id

Die Ausgabe sollte ähnlich wie folgt aussehen: none uid=1000 gid=3000 groups=3000,4000,50000

Die Gruppe 50000 stammt aus der Datei /etc/group im Container-Image.

Wenn Sie die Strict-Policy verwenden möchten, könnte das Pod-Manifest so aussehen:

apiVersion: v1
kind: Pod
metadata:
  name: strict-supplementalgroups-policy
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    supplementalGroupsPolicy: Strict
    supplementalGroups:
      - 4000
  containers:
  - name: my-container
    image: my-image

Erstellen Sie den Pod mit: console $ kubectl apply -f https://k8s.io/blog/2024-08-22-Fine-grained-SupplementalGroups-control/strict-supplementalgroups-policy.yaml

Diese neuen Möglichkeiten zur Kontrolle von Gruppenmitgliedschaften sind besonders wichtig für Sicherheitsrichtlinien und die Zugriffsverwaltung in Kubernetes. ayedo, als Ihr Partner für Kubernetes, unterstützt Sie gerne bei der Implementierung dieser neuen Funktionen und hilft Ihnen, Ihre Anwendungen sicher und effizient zu betreiben.

Quelle: Kubernetes Blog

ayedo Alien Kubernetes Hat

Hosten Sie Ihre Apps bei ayedo

Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.

Jetzt ausprobieren →

Ähnliche Inhalte

Alle Blogs →


ayedo Redaktion · 08.06.2025 · ⏳ 3 Minuten

Neue Wege im KI-Management: Die Gateway API Inference Extension

Moderne generative KI- und große Sprachmodelle (LLMs) stellen Kubernetes vor einzigartige Herausforderungen im Datenverkehrsmanagement. Im Gegensatz zu typischen kurzlebigen, zustandslosen Webanfragen …

Lesen →

Neue Wege im KI-Management: Die Gateway API Inference Extension
ayedo Redaktion · 06.06.2025 · ⏳ 2 Minuten

Wie Sie sicherstellen, dass Ihr Sidecar-Container zuerst startet

Einführung in die Verwaltung von Sidecar-Containern in Kubernetes In der Welt von Kubernetes sind Sidecar-Container nützliche Helfer, die Funktionen erweitern oder zusätzliche Aufgaben für die …

Lesen →

Wie Sie sicherstellen, dass Ihr Sidecar-Container zuerst startet
ayedo Redaktion · 05.06.2025 · ⏳ 2 Minuten

Gateway API v1.3.0: Neue Funktionen für flexibles Request Mirroring und mehr!

Wir freuen uns, die allgemeine Verfügbarkeit der Gateway API v1.3.0 bekanntzugeben! Diese Version wurde am 24. April 2025 veröffentlicht und bringt spannende neue Funktionen mit sich. Was ändert sich …

Lesen →

Gateway API v1.3.0: Neue Funktionen für flexibles Request Mirroring und mehr!
Katrin Peter · 03.06.2025 · ⏳ 2 Minuten

Die vergessene Schwachstelle in euren CI/CD-Pipelines: Die Registry

Die vergessene Schwachstelle in euren CI/CD-Pipelines: Die Registry Jeder redet über Build-Pipelines, Deployment-Automatisierung, GitOps, Blue/Green-Rollouts, Canary Releases. Alles sauber …

Lesen →

Die vergessene Schwachstelle in euren CI/CD-Pipelines: Die Registry
Katrin Peter · 03.06.2025 · ⏳ 2 Minuten

Application Performance sollte messbar sein — jederzeit, in Echtzeit

Wer Anwendungen produktiv betreibt, braucht keine schönen Dashboards, sondern harte Daten. Performance-Probleme entstehen nie dann, wenn Zeit für Debugging ist. Sie kommen genau dann, wenn Systeme …

Lesen →

Application Performance sollte messbar sein — jederzeit, in Echtzeit

Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →


Noch Fragen? Melden Sie sich!

Unsere DevOps-Experten antworten in der Regel innerhalb einer Stunde.

Zu Gen-Z für E-Mail? Einfach mal Discord versuchen. Unter +49 800 000 3706 können Sie unter Angabe Ihrer Kontaktdaten auch einen Rückruf vereinbaren. Bitte beachten Sie, dass es keine Möglichkeit gibt, uns telefonisch direkt zu erreichen. Bitte gar nicht erst versuchen. Sollten Sie dennoch Interesse an synchroner Verfügbarkeit via Telefon haben, empfehlen wir Ihnen unseren Priority Support.