Kubernetes 1.25: kurzlebige Container als ständiges Hilfsmittel
Die Container-Verwaltung Kubernetes trennt sich in Version 1.25 endgĂĽltig von der PodSecurityPolicy, da die Pod Security Admission nun als stabil gilt.
Das Entwicklungsteam hinter der Container-Orchestrierungsplattform Kubernetes hat Version 1.25 unter dem Namen Combiner vorgelegt. Während das martialisch anmutende Schutzhelm-Logo des Release auf die sicherheitsrelevanten Neuerungen wie etwa den Pod Security Admission Controller verweist, soll der Name Combiner für die Einigkeit aller am Kubernetes-Projekt Beteiligten stehen und für das Zusammenspiel sämtlicher Komponenten der Container-Verwaltung. Erst diese Kombination habe Kubernetes nach Einschätzung der Macher erfolgreich gemacht.
Integriert, aber weniger flexibel
In das neue Release hat das Entwicklungsteam laut Ankündigung insgesamt 40 Erweiterungen eingearbeitet. Dreizehn davon gelten nun offiziell als stabil und sind somit für den produktiven Einsatz in Kubernetes freigegeben. Dazu zählt beispielsweise der neue Pod Security Admission Controller, der die bereits in Version 1.21 als veraltet (deprecated) gekennzeichnete PodSecurityPolicy endgültig ablöst. Als integraler Bestandteil von Kubernetes soll die Pod Security Admission zwar standardmäßig die wichtigsten Sicherheitsanforderungen abdecken, im Unterschied zur PodSecurityPolicy lässt sie sich allerdings weniger flexibel anpassen. Gegebenenfalls sollten sich Anwenderinnen und Anwender, die eine feiner abgestufte Kontrolle über die Definition der Sicherheitsrichtlinien benötigen, vor der Migration daher rückversichern, ob sie auf ergänzende Mechanismen zum Pod Security Admission Controller zurückgreifen müssen. Ein umfassendes Dokument bietet Hilfestellung bei der Migration.
Ephemeral Container: kurzlebige Hilfe bei der Fehlersuche
Ephemeral Container, also kurzlebige Container, die sich insbesondere bei der Fehlersuche und -behebung empfehlen, gelten in Kubernetes 1.25 nun ebenfalls als stabil. Entwicklerinnen und Entwickler können die Ephemeral Container beispielsweise als Alternative zu kubectl exec
bei der Untersuchung anderer Container nutzen, die abgestĂĽrzt sind oder deren Image die geeigneten Debugging-Tools fehlen.
Das neue Release bietet nun auch endlich vollständigen Support für cgroups v2. Nachdem die API der Linux-Kernel-Erweiterung bereits seit mehr als zwei Jahren den Status stabil hatte, nutzen einige Linux-Distributionen – darunter Debian, Fedora und RHEL – die cgroups v2 API inzwischen standardmäßig. Um den reibungslosen Betrieb von Kubernetes auf den betreffenden Releases der Distributionen sicherzustellen, hat das Entwicklungsteam den cgroups-v2-Support komplettiert. Mehr Details zu den Linux-Distributionen und den Control Groups finden sich in der cgroups-Dokumentation.
Ein Ăśberblick aller weiteren Neuerungen in Kubernetes 1.25 steht im Blogbeitrag zur AnkĂĽndigung des Release sowie im Changelog auf GitHub. Im dortigen Repo liegt die neue Version auch ab sofort zum Download parat. Vor dem Upgrade sollten Anwenderinnen und Anwender aber einige wichtige Hinweise beachten, die unter anderem veraltete und nun entfernte APIs betreffen.
(map)