Release van Kubernetes 1.25 – PodSecurityPolicy vervanger en vluchtige containers voor pod debugging

Kubernetes 1.25 release Combiner
Kubernetes 1.25 release Combiner
Home / Blog & Nieuws / News / Release van Kubernetes 1.25 – PodSecurityPolicy vervanger en vluchtige containers voor pod debugging
Elke vier maanden komt een volgende grote release van Kubernetes uit. Op 23 augustus 2022 is Kubernetes 1.25 uitgekomen, genoemd Combiner, met daarin onder meer de vervanger voor PodSecurityPolicy en ‘vluchtige’ containers voor pod debugging. In deze blog ontdek je wat dat inhoudt en wat Kubernauts van True opvalt in deze nieuwe release.

De snelheid van nieuwe releases, en API ontwikkeling daarin, is het belangrijkste component van Kubernetes om de de facto standaard voor container-orkestratie te blijven. Dat betekent ook dat er geen Long Term Support versies beschikbaar zijn en dat je voor elk type platform (ook lokaal) up-to-date moet blijven. Elke versie wordt ongeveer een jaar na verschijnen end-of-life (EOL).

Opvallend in de Kubernetes 1.25 release

PodSecurityPolicy vervanger: Pod Security Admission

In versie 1.21 werd PodSecurityPolicy (PSP) al deprecated, waarbij het in versie 1.25 daadwerkelijk verwijderd wordt. In deze release komt Pod Security Admission, de vervanger, in de stabiele fase. Werk je nog met PodSecurityPolicy, volg dan deze instructies om naar Pod Security Admission te migreren.

PodSecurityPolicy was een ingebouwde toegangscontrole waarmee cluster admins veiligheidsgevoelige aspecten van de pod specificatie konden beheren. Als een pod niet aan de PSP vereisten voldeed, dan werd deze niet tot het cluster in productie toegelaten. PSP bleek een functie te zijn die verwarrend werkte, waardoor bijvoorbeeld te veel permissies aan een pod werden toegekend.

Pod Security Admission is een nieuwe controller die volgens Pod Security Standards werkt. Het geeft vereisten aan de Pod security context volgens drie niveaus: privileged, baseline, restricted. Dit is een set van best practice profielen voor veilige pods.

💡Je platform upgraden naar 1.25 of de end-of-life van 1.23 (februari 2023) voor zijn? In deze blog lees je het advies van engineers van True als het op upgraden van je Kubernetes platform aankomt.

Vier andere opvallende features die van beta naar stable gaan of zijn gegaan:

  • NetworkPolicyEndPort: was het eerder zo dat je poort voor poort moest definiëren in de network policy, nu kun je poorten als een range definiëren. Scheelt een hoop handmatig werk!
  • EphemeralContainers: een ‘vluchtige’ container die je op een pod na creatie kunt zetten, om pods te debuggen. Vluchtige containers zijn handig bij debugging van containers als deze zijn gecrasht of niet over debugging mogelijkheden beschikken. De ephemeral container heeft dezelfde rechten als de andere containers binnen de pod, waardoor je er ook alles mee kunt zien binnen de pod zoals een gewone container.
  • UserNamespacesSupport: ondersteuning van user namespaces. Hiermee kun je de gebruiker in de container isolseren van de gebruiker in de host. Daarmee heeft de gebruiker wel alle rechten om in de namespace zelf te opereren, maar niet meer voor buiten de namespace. Als een container gecompromiteerd raakt, is de schade minder, omdat de gebruiker niets kan doen op de host(machine).
  • DaemonSetUpdateSurge: bij een rollende update werden eerder standaard 25% extra pods ernaast gecreëerd zodat de update door kon gaan. Nu kun je dit aantal zelf definiëren.
🤖 Je Kubernetes-omgeving voor je beheerd, inclusief upgrades? Ontdek Fully Managed Kubernetes van True
Daniëlle van Gils
Content Marketeer
Terug

Offerte

Release van Kubernetes 1.25 – PodSecurityPolicy vervanger en vluchtige containers voor pod debuggingRelease van Kubernetes 1.25 – PodSecurityPolicy vervanger en vluchtige containers voor pod debugging
Terug

    Vul onderstaand formulier in voor het aanvragen van een offerte. We nemen zo snel mogelijk contact met je op.