Sélectionner une page

Formation > Blog > Kubernetes > Kubernetes 1.29 quelles nouveautés ?

Kubernetes 1.29 : Mandala a été la dernière sortie de l’année pour l’équipe de Développement K8. Elle comporte 49 améliorations, dont un grand nombre, pour assurer la sécurité de vos clusters et des corrections de bugs. Dans cet article, nous avons sélectionné les plus marquants. Il faut noter que tous ne sont pas considérés comme stables et que la plupart de ces améliorations sont toujours en alpha.

L’équipe Ambient IT

Kubernetes 1.29 : Améliorations de sécurité

La version 1.29 de Kubernetes est particulièrement axée sur le renfort de la sécurité dans l’écosystème. Elles portent sur des aspects cruciaux de la sécurité cloud-native comme l’authentification, l’autorisation et la gestion sécurisée de la charge de travail.

Améliorations de KMS v2

Pour le moment, le seul ajout de sécurité classé comme stable dans cette version 1.29. Le service de gestion des clés est désormais une fonctionnalité stable qui se concentre sur l’amélioration du cadre du plugin KMS.

Cette fonction conforte Kubernetes dans son rôle d’outil robuste et sécurisée pour stocker des informations sensibles.

Configuration structurée de l’autorisation

Traditionnellement, l’autorisation dans Kubernetes est gérée via le RBAC. C’est un système dont la gestion devient excessivement lourde à mesure que le nombre de politiques et de règles augmente.

La version 1.29 de Kubernetes propose un modèle de configuration plus structuré, en permettant d’ajouter un format de configuration avec un ordre de priorité spécifique et des modes d’échec définis pour configurer la chaîne d’autorisation.

Cette fonctionnalité améliore la gérabilité et la traçabilité. Cela simplifie non seulement la gestion des accès et des autorisations, mais également la réalisation de vos audits de sécurité.

Pour en savoir plus, consultez le GitHub associé.

Amélioration du jeton de compte de service

Autre aspect important de la sécurité dans Kubernetes, les jetons de compte de service sont utilisés pour l’authentification des charges de travail dans les clusters.

La grande nouveauté de Kubernetes 1.29 est que les jetons sont désormais liés à des instances de pods spécifiques, empêchant ainsi leur utilisation abusive en cas d’exfiltration. Il est donc désormais beaucoup plus compliqué pour un intrus d’exploiter un jeton volé.

Pour en savoir plus, rendez-vous sur la page Github de cet ajout

À cet ajout, il faut également noter la réduction du champ d’application des jetons de compte de service. Utiliser des informations d’identification à durée de vie courte et juste à temps est désormais un standard dans l’industrie du DevOps et permet de limiter les surfaces d’attaques.

Garantie du secret des images extraites

Les images de conteneurs contiennent très souvent des composants sensibles, ce qui rend la sécurité leur extraction critique pour la bonne sécurité de vos clusters.

Kubernetes 1.29 garantit que les images sont toujours tirées en utilisant les secrets Kubernetes du pod qui les utilise. Cette amélioration empêche les attaquants d’intercepter ou de modifier les images de conteneurs. C’est une fonctionnalité essentielle pour maintenir l’intégrité des charges de travail.

Pour en savoir plus, lisez le GitHub associé.

Configuration structurée de l’authentification

Comme pour l’autorisation, Kubernetes 1.29 fournit une autre nouvelle fonction pour la configuration structurée des mécanismes d’authentification.

Cette nouveauté ajoute une configuration d’authentification structurée au serveur API de Kubernetes. Il est désormais possible de configurer plusieurs fournisseurs OIDC, plusieurs clients et plusieurs règles de validation.

Kubernetes 1.29 : améliorations générales

Kubernetes 1.29 comporte de nombreuses améliorations d’ordre général qui, même si elles ne sont pas directement liées à la sécurité, renforce la sureté et la fiabilité de vos clusters applicatifs.

Endpoint pour les métriques de ressources

Les métriques de ressources des nœuds sur les ressources de première classe permettent une gestion bien plus efficace des ressources.

Cela renforce indirectement la sécurité, car cela permet aux opérateurs de détecter et de prévenir la pénurie de ressources, qui peut être un vecteur pour certains types d’attaques.

Action de mise en veille du cycle de vie des pods

Il est maintenant possible de réaliser une action de mise en veille pour retarder l’arrêt des pods. Cette fonctionnalité permet d’étudier et de capturer l’état des pods avant qu’ils ne soient terminés.

C’est une fonctionnalité cruciale pour le débogage et pour l’arrêt en douceur des services.

Conteneurs Sidecars

Conteneurs auxiliaires rajoutant des fonctions au conteneur principal, les sidecars bénéficient d’une amélioration de leur gestion des événements du cycle de vie. Cela signifie que les agents de journalisation, de surveillance et de sécurité exécutés en tant que sidecars peuvent être gérés de manière plus fiable.

Cette fonctionnalité garantit que les services critiques restent opérationnels tout au long du cycle de vie de l’application.

SPDY vers WebSockets

Les équipes de développement Kubernetes y travaillent depuis un petit moment, mais cette version marque la vraie transition de SPDY vers Websocket pour la communication avec le serveur API Kubernetes.

Websocket offre un cadre plus moderne et plus évolutif avec une fiabilité globale accrue. Cela assure la maintenabilité des communications Kubernetes.

Conclusion

Si toutes ces améliorations ne sont pas encore considérées comme stables, elles contribuent déjà à rendre Kubernetes plus sûr et plus efficace. En améliorant la fiabilité, les performances et le contrôle opérationnel sous-jacents de l’outil.

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.

ILS SE SONT FORMÉS CHEZ NOUS

partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp
partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp