Die neue Image Pull Policy in Kubernetes v1.33 sorgt für mehr Sicherheit bei der Verwendung privater Container-Images.
In der Welt von Kubernetes gibt es immer wieder Überraschungen, und die Funktionsweise der imagePullPolicy ist da keine Ausnahme. Es mag seltsam erscheinen, dass es seit über 10 Jahren ein Problem gibt, bei dem Pods Zugriff auf authentifizierte Images erhalten konnten, ohne die notwendigen Berechtigungen zu haben. Mit der neuen Version v1.33 hat die Kubernetes-Community nun endlich ein zehn Jahre altes Problem gelöst.
Die imagePullPolicy: IfNotPresent hat bis jetzt genau das getan, was sie verspricht: Sie zieht ein Image nur, wenn es nicht lokal vorhanden ist. Doch das hatte auch Sicherheitslücken zur Folge. Nehmen wir folgendes Szenario an: Pod A im Namespace X wird auf Node 1 geplant und benötigt Image Foo aus einem privaten Repository. Für die Authentifizierung nutzt der Pod Secret 1, das die notwendigen Anmeldedaten enthält.
Wenn jedoch Pod B im Namespace Y ebenfalls auf Node 1 geplant wird und auch Image Foo benötigt, aber nicht auf Secret 1 zugreifen kann, geschieht etwas Unerwartetes. Da die IfNotPresent-Richtlinie besagt, dass das Image nur heruntergeladen wird, falls es nicht vorhanden ist, wird der Kubelet feststellen, dass Image Foo bereits lokal vorhanden ist und es Pod B zur Verfügung stellen – trotz fehlender Berechtigungen.
Mit der Einführung von Kubernetes v1.33 wird dies nun anders geregelt. Der Kubelet überprüft nun die Anmeldedaten des Pods, bevor er ihm Zugriff auf das bereits vorhandene Image gewährt. Dies bedeutet, dass nur Pods, die tatsächlich die erforderlichen Berechtigungen besitzen, auf private Images zugreifen können.
Ein Beispiel: Wenn Pod A und Pod B beide die gleichen Anmeldedaten aus Secret 1 beziehen, wird Pod B nicht gezwungen, sich erneut zu authentifizieren, solange die Anmeldedaten gültig sind. Dies verbessert nicht nur die Sicherheit, sondern auch die Leistung und Stabilität des Services.
Diese Änderungen haben weitreichende Auswirkungen auf die Sicherheit und den Zugriff auf Container-Images in Kubernetes. Durch die Zusammenarbeit mit Partnern wie ayedo können Unternehmen sicherstellen, dass ihre Kubernetes-Implementierungen optimal konfiguriert sind und die Vorteile dieser neuen Sicherheitsfeatures nutzen.
Im Großen und Ganzen bringt Kubernetes v1.33 also nicht nur eine technische Verbesserung, sondern auch einen Schritt in die richtige Richtung für die Sicherheit in der Container-Orchestrierung!
Quelle: Kubernetes Blog
Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.
Moderne generative KI- und große Sprachmodelle (LLMs) stellen Kubernetes vor einzigartige Herausforderungen im Datenverkehrsmanagement. Im Gegensatz zu typischen kurzlebigen, zustandslosen Webanfragen …
Einführung in die Verwaltung von Sidecar-Containern in Kubernetes In der Welt von Kubernetes sind Sidecar-Container nützliche Helfer, die Funktionen erweitern oder zusätzliche Aufgaben für die …
Wir freuen uns, die allgemeine Verfügbarkeit der Gateway API v1.3.0 bekanntzugeben! Diese Version wurde am 24. April 2025 veröffentlicht und bringt spannende neue Funktionen mit sich. Was ändert sich …
Die vergessene Schwachstelle in euren CI/CD-Pipelines: Die Registry Jeder redet über Build-Pipelines, Deployment-Automatisierung, GitOps, Blue/Green-Rollouts, Canary Releases. Alles sauber …
Wer Anwendungen produktiv betreibt, braucht keine schönen Dashboards, sondern harte Daten. Performance-Probleme entstehen nie dann, wenn Zeit für Debugging ist. Sie kommen genau dann, wenn Systeme …
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →