Erfahren Sie, wie Benutzer-Namensräume in Kubernetes v1.25 die Sicherheit von Pods erhöhen und sichere Workloads ermöglichen.
Kubernetes v1.25 bringt eine bedeutende Neuerung mit sich: die Unterstützung für Benutzer-Namensräume. Diese Funktion ermöglicht es, sichere Workloads in Kubernetes zu betreiben, indem jeder Pod nur auf einen eingeschränkten Satz von verfügbaren UIDs und GIDs auf dem System zugreifen kann. Dies fügt eine zusätzliche Sicherheitsebene hinzu, um Pods, die auf demselben System laufen, zu schützen.
Mit der neuen Unterstützung für Benutzer-Namensräume können Entwickler und DevOps-Teams sicherere Anwendungen bereitstellen. Jeder Pod läuft in einer eigenen Umgebung mit einzigartigen IDs, was das Risiko von Sicherheitsvorfällen verringert. Insbesondere wird es möglich, Workloads als Root auszuführen, ohne den Host zu gefährden. Diese Isolation ist besonders wertvoll in multi-tenant Umgebungen, wo verschiedene Teams oder Anwendungen auf demselben Cluster betrieben werden.
Stellen Sie sich vor, Sie betreiben eine Anwendung, die als Root-Benutzer laufen muss. Mit Benutzer-Namensräumen können Sie die Root-ID innerhalb des Pods auf eine nicht-null ID außerhalb des Containers abbilden. Das bedeutet, dass die Anwendung im Container glaubt, sie laufe als Root, während sie aus der Sicht des Hosts mit einer regulären, unprivilegierten ID arbeitet. Dies gewährleistet, dass die Anwendung über die erforderlichen Berechtigungen verfügt, ohne dass die Sicherheit des Hosts gefährdet wird.
Aktuell müssen Sie die Unterstützung für Benutzer-Namensräume aktivieren, da sie standardmäßig deaktiviert ist. Dazu setzen Sie hostUsers auf false in der Pod-Spezifikation:
yaml
apiVersion: v1
kind: Pod
spec:
hostUsers: false
containers:
Beachten Sie, dass diese Funktion hinter einem Feature-Gate steht. Aktivieren Sie das Gate UserNamespacesStatelessPodsSupport, bevor Sie die neue Funktion nutzen können. Zudem muss die Laufzeitumgebung Benutzer-Namensräume unterstützen:
cri-dockerd ist derzeit nicht geplant.Wenn Sie mehr über Benutzer-Namensräume erfahren oder sich an der Community beteiligen möchten, können Sie das SIG Node über verschiedene Kanäle erreichen:
Sie können uns auch direkt kontaktieren:
Mit der Unterstützung von ayedo als erfahrenem Kubernetes-Partner sind Sie bestens gerüstet, um die neuen Möglichkeiten von Kubernetes v1.25 zu nutzen und Ihre Anwendungen sicherer zu gestalten.
Quelle: Kubernetes Blog
Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.
Moderne generative KI- und große Sprachmodelle (LLMs) stellen Kubernetes vor einzigartige Herausforderungen im Datenverkehrsmanagement. Im Gegensatz zu typischen kurzlebigen, zustandslosen Webanfragen …
Einführung in die Verwaltung von Sidecar-Containern in Kubernetes In der Welt von Kubernetes sind Sidecar-Container nützliche Helfer, die Funktionen erweitern oder zusätzliche Aufgaben für die …
Wir freuen uns, die allgemeine Verfügbarkeit der Gateway API v1.3.0 bekanntzugeben! Diese Version wurde am 24. April 2025 veröffentlicht und bringt spannende neue Funktionen mit sich. Was ändert sich …
Die vergessene Schwachstelle in euren CI/CD-Pipelines: Die Registry Jeder redet über Build-Pipelines, Deployment-Automatisierung, GitOps, Blue/Green-Rollouts, Canary Releases. Alles sauber …
Wer Anwendungen produktiv betreibt, braucht keine schönen Dashboards, sondern harte Daten. Performance-Probleme entstehen nie dann, wenn Zeit für Debugging ist. Sie kommen genau dann, wenn Systeme …
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →