Entdecken Sie die neuen Funktionen des Security Profiles Operators v0.4.0 und wie sie die Sicherheit in Kubernetes verbessern.
Die Security Profiles Operator (SPO) ist eine maßgebliche Erweiterung für Kubernetes, die die Verwaltung von seccomp, SELinux und AppArmor Profilen erheblich vereinfacht. Wir freuen uns, die Veröffentlichung von v0.4.0 anzukündigen, die viele neue Funktionen, Verbesserungen und Fehlerbehebungen mit sich bringt.
Es ist einige Zeit vergangen, seit der letzten Veröffentlichung v0.3.0. In den letzten sechs Monaten haben wir über 290 Commits vorgenommen, um neue Funktionen hinzuzufügen, bestehende zu optimieren und unsere Dokumentation zu überarbeiten.
Ein Highlight ist die Möglichkeit, seccomp- und SELinux-Profile mithilfe des Log-Enrichers aufzuzeichnen. Dies reduziert die Abhängigkeiten, die für die Profilaufzeichnung erforderlich sind, auf das Vorhandensein von auditd oder syslog (als Fallback) auf den Knoten. Alle Profilaufzeichnungen im Operator funktionieren einheitlich über die ProfileRecording CRD sowie die entsprechenden Label-Selector. Der Log-Enricher kann auch genutzt werden, um wertvolle Einblicke in seccomp- und SELinux-Nachrichten eines Knotens zu gewinnen. Weitere Informationen finden Sie in der offiziellen Dokumentation.
Neben der Aufzeichnung über den Log-Enricher bieten wir nun eine Alternative zur Aufzeichnung von seccomp-Profilen durch die Nutzung von ebpf. Diese optionale Funktion kann aktiviert werden, indem enableBpfRecorder auf true gesetzt wird. Dies führt dazu, dass ein dedizierter Container gestartet wird, der ein benutzerdefiniertes bpf-Modul auf jedem Knoten bereitstellt, um die Syscalls für Container zu sammeln. Dies unterstützt sogar ältere Kernel-Versionen, die das BPF Type Format (BTF) standardmäßig nicht bereitstellen, sowie die Architekturen amd64 und arm64. Schauen Sie sich unsere Dokumentation an, um dies in Aktion zu sehen. Übrigens fügen wir nun die Architektur des Seccomp-Profil-Hosts zu dem aufgezeichneten Profil hinzu.
Zusätzlich haben wir die Seccomp-Profil-API von v1alpha1 auf v1beta1 hochgestuft. Dies entspricht unserem übergeordneten Ziel, die CRD-APIs im Laufe der Zeit zu stabilisieren. Die einzige Änderung besteht darin, dass der Typ Architectures des Seccomp-Profils nun auf []Arch anstelle von []*Arch verweist.
Mit diesen Verbesserungen und neuen Funktionen wird die Verwaltung von Sicherheitsprofilen in Kubernetes effizienter und benutzerfreundlicher. ayedo ist stolz darauf, als Kubernetes-Partner an der Spitze dieser Entwicklungen zu stehen und Unternehmen dabei zu helfen, ihre Sicherheitsstrategien zu optimieren.
Quelle: Kubernetes Blog
Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.
Moderne generative KI- und große Sprachmodelle (LLMs) stellen Kubernetes vor einzigartige Herausforderungen im Datenverkehrsmanagement. Im Gegensatz zu typischen kurzlebigen, zustandslosen Webanfragen …
Einführung in die Verwaltung von Sidecar-Containern in Kubernetes In der Welt von Kubernetes sind Sidecar-Container nützliche Helfer, die Funktionen erweitern oder zusätzliche Aufgaben für die …
Wir freuen uns, die allgemeine Verfügbarkeit der Gateway API v1.3.0 bekanntzugeben! Diese Version wurde am 24. April 2025 veröffentlicht und bringt spannende neue Funktionen mit sich. Was ändert sich …
Wer Anwendungen produktiv betreibt, braucht keine schönen Dashboards, sondern harte Daten. Performance-Probleme entstehen nie dann, wenn Zeit für Debugging ist. Sie kommen genau dann, wenn Systeme …
Die Frage stellt sich immer wieder. Entwicklerteams liefern Features, optimieren Releases, bauen saubere Architekturen — und dann hängen sie trotzdem noch in der Infrastruktur. Kubernetes-Cluster …
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →