Kubelet TLS Bootstrap mit Kubernetes 1.12 verfügbar
Das dritte Kubernetes-Release 2018 unterstützt Azure Virtual Machine Scale Sets (VMSS) zum Erstellen und Verwalten homogener VM-Pools.
- Matthias Parbel
Mit Kubernetes 1.12 liegt das dritte Release der Containerorchestrierung im laufenden Jahr vor. Den Fokus bei der Weiterentwicklung haben die Macher neben Fehlerbereinigungen und Verbesserungen vor allem auf Security und den Einsatz mit Azure gelegt.
Die Unterstützung von Azure Virtual Machine Scale Sets (VMSS) gilt nun offiziell als stabile Funktion in Kubernetes 1.12. Sie erlaubt es, einen homogenen Pool von VMs zu erstellen, zu verwalten und ihn automatisch an den tatsächlichen Bedarf an Kubernetes-Workloads anzupassen. Das schließt die Skalierung containerisierter Applikationen mit Azure VMSS ebenso ein, wie die Verwendung des Cluster-Autoscaler zur automatischen Größenanpassung des Kubernetes-Cluster. Insbesondere umfangreichere Applikationen sollen dadurch von höherer Verfügbarkeit und verbesserter Belastbarkeit profitieren.
Mehr Sicherheit durch granulare Zertifizierung
Einen wichtigen Schritt zu mehr Sicherheit macht Kubernetes 1.12 durch die generelle Verfügbarkeit von Kubelet TLS Bootstrap. Die Funktion versetzt Kubelets in die Lage, sich selbst in einen TLS-gesicherten Cluster zu laden. Die ursprünglich in Kubernetes 1.4 eingeführte API zum Abruf eines Zertifikates einer Certificate Authority (CA) auf Cluster-Ebene eröffnete bisher nur die Möglichkeit, TLS-Client-Zertifikate für Kubelets zu provisionieren.
Beim erstmaligen Ausführen jedes Kubelets mussten dabei jedoch die Client Credentials in einem Out-of-band-Prozess während des Cluster-Starts vergeben werden. Diese lästige und schwer zu automatisierende Vorgehensweise bewog viele Anwender dazu, sämtliche Kubelets im Cluster mit nur einer Identität und Berechtigung zu deployen. Auf Initiative der SIG Auth entstand daher die in Kubelet TLS Bootstrap eingeflossene Methode, mit der Kubelets eigene private Schlüssel erstellen und ein Certificate Signing Request (CSR) zur Zertifikatssignierung auf Cluster-Ebene absetzen können.
Weitere neue Funktionen in Kubernetes 1.12 – die meisten darunter in Alpha- beziehungsweise Beta-Version – fasst die Ankündigungsmeldung im Kubernetes-Blog zusammen. Das neue Release der Containerorchestrierung steht auf GitHub zum Download parat. Alternativ lässt sich Kubernetes 1.12 auch via kubeadm aufsetzen. (map)
