Kubernetes 1.29 : Mandala a été la dernière sortie de l’année pour l’équipe de Développement K8. Elle comporte 49 améliorations, dont un grand nombre, pour assurer la sécurité de vos clusters et des corrections de bugs. Dans cet article, nous avons sélectionné les plus marquants. Il faut noter que tous ne sont pas considérés comme stables et que la plupart de ces améliorations sont toujours en alpha.
Vous souhaitez devenir incollable sur la gestion de conteneurs applicatifs et vous tenir au courant des dernières avancées sur l’outil ? Notre formation Kubernetes en inter et intranetreprise vous permettra de faire évoluer vos applications vers le standard microservice.
L’équipe Ambient IT
Kubernetes 1.29 : Améliorations de sécurité
La version 1.29 de Kubernetes est particulièrement axée sur le renfort de la sécurité dans l’écosystème. Elles portent sur des aspects cruciaux de la sécurité cloud-native comme l’authentification, l’autorisation et la gestion sécurisée de la charge de travail.
Améliorations de KMS v2
Pour le moment, le seul ajout de sécurité classé comme stable dans cette version 1.29. Le service de gestion des clés est désormais une fonctionnalité stable qui se concentre sur l’amélioration du cadre du plugin KMS.
Cette fonction conforte Kubernetes dans son rôle d’outil robuste et sécurisée pour stocker des informations sensibles.
Configuration structurée de l’autorisation
Traditionnellement, l’autorisation dans Kubernetes est gérée via le RBAC. C’est un système dont la gestion devient excessivement lourde à mesure que le nombre de politiques et de règles augmente.
La version 1.29 de Kubernetes propose un modèle de configuration plus structuré, en permettant d’ajouter un format de configuration avec un ordre de priorité spécifique et des modes d’échec définis pour configurer la chaîne d’autorisation.
Cette fonctionnalité améliore la gérabilité et la traçabilité. Cela simplifie non seulement la gestion des accès et des autorisations, mais également la réalisation de vos audits de sécurité.
Pour en savoir plus, consultez le GitHub associé.
Amélioration du jeton de compte de service
Autre aspect important de la sécurité dans Kubernetes, les jetons de compte de service sont utilisés pour l’authentification des charges de travail dans les clusters.
La grande nouveauté de Kubernetes 1.29 est que les jetons sont désormais liés à des instances de pods spécifiques, empêchant ainsi leur utilisation abusive en cas d’exfiltration. Il est donc désormais beaucoup plus compliqué pour un intrus d’exploiter un jeton volé.
Pour en savoir plus, rendez-vous sur la page Github de cet ajout
À cet ajout, il faut également noter la réduction du champ d’application des jetons de compte de service. Utiliser des informations d’identification à durée de vie courte et juste à temps est désormais un standard dans l’industrie du DevOps et permet de limiter les surfaces d’attaques.
Garantie du secret des images extraites
Les images de conteneurs contiennent très souvent des composants sensibles, ce qui rend la sécurité leur extraction critique pour la bonne sécurité de vos clusters.
Kubernetes 1.29 garantit que les images sont toujours tirées en utilisant les secrets Kubernetes du pod qui les utilise. Cette amélioration empêche les attaquants d’intercepter ou de modifier les images de conteneurs. C’est une fonctionnalité essentielle pour maintenir l’intégrité des charges de travail.
Pour en savoir plus, lisez le GitHub associé.
Configuration structurée de l’authentification
Comme pour l’autorisation, Kubernetes 1.29 fournit une autre nouvelle fonction pour la configuration structurée des mécanismes d’authentification.
Cette nouveauté ajoute une configuration d’authentification structurée au serveur API de Kubernetes. Il est désormais possible de configurer plusieurs fournisseurs OIDC, plusieurs clients et plusieurs règles de validation.
Kubernetes 1.29 : améliorations générales
Kubernetes 1.29 comporte de nombreuses améliorations d’ordre général qui, même si elles ne sont pas directement liées à la sécurité, renforce la sureté et la fiabilité de vos clusters applicatifs.
Endpoint pour les métriques de ressources
Les métriques de ressources des nœuds sur les ressources de première classe permettent une gestion bien plus efficace des ressources.
Cela renforce indirectement la sécurité, car cela permet aux opérateurs de détecter et de prévenir la pénurie de ressources, qui peut être un vecteur pour certains types d’attaques.
Action de mise en veille du cycle de vie des pods
Il est maintenant possible de réaliser une action de mise en veille pour retarder l’arrêt des pods. Cette fonctionnalité permet d’étudier et de capturer l’état des pods avant qu’ils ne soient terminés.
C’est une fonctionnalité cruciale pour le débogage et pour l’arrêt en douceur des services.
Conteneurs Sidecars
Conteneurs auxiliaires rajoutant des fonctions au conteneur principal, les sidecars bénéficient d’une amélioration de leur gestion des événements du cycle de vie. Cela signifie que les agents de journalisation, de surveillance et de sécurité exécutés en tant que sidecars peuvent être gérés de manière plus fiable.
Cette fonctionnalité garantit que les services critiques restent opérationnels tout au long du cycle de vie de l’application.
SPDY vers WebSockets
Les équipes de développement Kubernetes y travaillent depuis un petit moment, mais cette version marque la vraie transition de SPDY vers Websocket pour la communication avec le serveur API Kubernetes.
Websocket offre un cadre plus moderne et plus évolutif avec une fiabilité globale accrue. Cela assure la maintenabilité des communications Kubernetes.
Conclusion
Si toutes ces améliorations ne sont pas encore considérées comme stables, elles contribuent déjà à rendre Kubernetes plus sûr et plus efficace. En améliorant la fiabilité, les performances et le contrôle opérationnel sous-jacents de l’outil.
