/ Software-Entwicklung / Container: Kubernetes 1.7 bringt einige Security-Erweiterungen

Container: Kubernetes 1.7 bringt einige Security-Erweiterungen

Gerfried Steube on June 30, 2017 - 5:12 pm in Software-Entwicklung

Die Network Policy API hat nun die Betaphase verlassen, und es gibt ein neues Verschlüsselungsmodul. Außerdem haben die Macher die Funktionen für Stateful Workloads deutlich überarbeitet.

Das Kubernetes-Team hat Version 1.7 des Open-Source-Werkzeugs zum Verwalten von Container-Clustern veröffentlicht und bleibt damit im Dreimonatsrhytmus der Releases. Zu den Highlights gehören erweiterte Security-Features und Stateful Workloads. Wie bei den vorherigen Releases haben erneut viele Funktionen derzeit noch Alpha- oder Beta-Status.

Die Network Policy API, mit der Administratoren die Regeln festlegen, wie Pods untereinander und mit anderen Netzwerkressourcen kommunizieren dürfen, gilt nun als stabil. Der Node Authorizer bestimmt, welche Ressourcen einzelne kubelets, also die Node Agents, verwenden dürfen, also beispielsweise Lesezugriff auf Services, Nodes, Pods und Endpunkte, Schreibzugriffe auf Nodes und Pods oder der Aufruf von Authorisierungs-Funktionen der API.

Neu ist die Möglichkeit zum Verschlüsseln von gespeicherten Daten (Data at Rest). Dazu bietet der kube-apiserver die Option –experimental-encryption-provider-config, der die Art der Verschlüsselung definiert. Wie das “experimental” im Namen anmuten lässt, handelt es sich dabei um eine Alpha-Funktion. Die Beschreibung weist explizit darauf hin, dass Entwickler eventuell ihre Daten entschlüsseln müssen, bevor sie auf eine kommende Kubernetes-Version umsteigen.

Stateful Workloads

Die in Kubernetes 1.5 eingeführten StatefulSets befinden sich immer noch im Beta-Stadium. Sie ermöglichen die Verwaltung von nicht völlig zustandslosen containerisierten Anwendungen, die beispielsweise auf einen übergreifenden persistenten Storage zugreifen oder eindeutige Netzwerkkennungen benötigen. Neu ist die Möglichkeit, StatefulSets, die nicht auf eine bestimmte Reihenfolge beim Deployment angewiesen sind, in einem Parallel-Modus zu verteilen und damit die Performance zu verbessern, da die einzelnen Pods nicht mehr aufeinander warten müssen.

Als Beta gekennzeichnet sind automatisierte Updates für StatefulSets, die Nutzer entweder als OnDelete oder RollingUpdate definieren können. Letzteres führt ein Update aller Pods eines StatefulSet in der umgekehrten Reihenfolge des Ordinal-Index durch. Ersteres behandelt Updates wie bisher und gilt weiterhin als Standardvorgehensweise. In der frühen Alpha-Phase befindet sich der Zugriff auf lokalen Storage über PersistentVolumeClaim– beziehungsweise PersistentVolume-API-Aufrufe sowie die StorageClasses der StorageSets. Dazu hat das Team den neuen Volume-Typ local eingeführt.

Weitere Neuigkeiten, unter anderem zum Container Runtimer Interface (CRI) und der API Aggregation lassen sich der offiziellen Ankündigung entnehmen. Kubernetes ist unter der Apache-2-Lizenz auf GitHub verfügbar. Die Software ist in Go geschrieben und hat ihre Wurzeln bei Google, das es zum 1.0 Release als Startprojekt in die Cloud Native Computing Foundation überführte. Zu deren Mitgliedern neben dem Internetriesen unter anderem IBM, Docker, Cisco, VMWare und Intel zählen. (rme)

Read more on: Source

Comments are disabled