De snelheid van nieuwe releases, en API ontwikkeling daarin, is het belangrijkste component van Kubernetes om de de facto standaard voor container-orkestratie te blijven. Dat betekent ook dat er geen Long Term Support versies beschikbaar zijn en dat je voor elk type platform (ook lokaal) up-to-date moet blijven. Elke versie wordt ongeveer een jaar na verschijnen end-of-life (EOL).
Opvallend in de Kubernetes 1.25 release
PodSecurityPolicy vervanger: Pod Security Admission
In versie 1.21 werd PodSecurityPolicy (PSP) al deprecated, waarbij het in versie 1.25 daadwerkelijk verwijderd wordt. In deze release komt Pod Security Admission, de vervanger, in de stabiele fase. Werk je nog met PodSecurityPolicy, volg dan deze instructies om naar Pod Security Admission te migreren.
PodSecurityPolicy was een ingebouwde toegangscontrole waarmee cluster admins veiligheidsgevoelige aspecten van de pod specificatie konden beheren. Als een pod niet aan de PSP vereisten voldeed, dan werd deze niet tot het cluster in productie toegelaten. PSP bleek een functie te zijn die verwarrend werkte, waardoor bijvoorbeeld te veel permissies aan een pod werden toegekend.
Pod Security Admission is een nieuwe controller die volgens Pod Security Standards werkt. Het geeft vereisten aan de Pod security context volgens drie niveaus: privileged, baseline, restricted. Dit is een set van best practice profielen voor veilige pods.
💡Je platform upgraden naar 1.25 of de end-of-life van 1.23 (februari 2023) voor zijn? In deze blog lees je het advies van engineers van True als het op upgraden van je Kubernetes platform aankomt.
Vier andere opvallende features die van beta naar stable gaan of zijn gegaan:
- NetworkPolicyEndPort: was het eerder zo dat je poort voor poort moest definiëren in de network policy, nu kun je poorten als een range definiëren. Scheelt een hoop handmatig werk!
- EphemeralContainers: een ‘vluchtige’ container die je op een pod na creatie kunt zetten, om pods te debuggen. Vluchtige containers zijn handig bij debugging van containers als deze zijn gecrasht of niet over debugging mogelijkheden beschikken. De ephemeral container heeft dezelfde rechten als de andere containers binnen de pod, waardoor je er ook alles mee kunt zien binnen de pod zoals een gewone container.
- UserNamespacesSupport: ondersteuning van user namespaces. Hiermee kun je de gebruiker in de container isolseren van de gebruiker in de host. Daarmee heeft de gebruiker wel alle rechten om in de namespace zelf te opereren, maar niet meer voor buiten de namespace. Als een container gecompromiteerd raakt, is de schade minder, omdat de gebruiker niets kan doen op de host(machine).
- DaemonSetUpdateSurge: bij een rollende update werden eerder standaard 25% extra pods ernaast gecreëerd zodat de update door kon gaan. Nu kun je dit aantal zelf definiëren.
De volledige release notes zijn op de GitHub van Kubernetes te vinden 🤖
🤖 Je Kubernetes-omgeving voor je beheerd, inclusief upgrades? Ontdek Fully Managed Kubernetes van True
