Abo
  • Services:

Container-Orchestrierung: Kubernetes 1.7 stärkt Sicherheit und Stateful Sets

Vor allem in Sachen Sicherheit legt das neue Kubernetes 1.7 nach. Darüber hinaus haben die Entwickler der Container-Orchestrierung Verbesserungen für Stateful Sets und Daemon Sets vorgenommen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Container müssen gesteuert werden, dafür sorgt Kubernetes.
Container müssen gesteuert werden, dafür sorgt Kubernetes. (Bild: US Coast Guard Academy/Public Domain)

Für die aktuelle Version 1.7 verändern die Entwickler der Container-Orchestrierung Kubernetes einige Dinge an der Sicherheit der Anwendung. So gilt das Network Policy API nun als stabil. Die Schnittstelle ermöglicht es Nutzern, Regeln für die Kommunikation zwischen Pods und Nodes zu definieren und zu verwalten.

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. BOS GmbH & Co. KG, Ostfildern

Der Node Authorizer und das Admission Control Plugin beschneiden den Zugriff von Kubelets auf Secrets, Pods und andere Objekte basierend auf dem Node. Zugleich gibt es erste Ansätze, Secrets und andere Etcd-Ressourcen zu verschlüsseln. TLS-Client- und -Server-Zertifkate lassen sich nun beim TLS-Bootstraping von Kubelets rotieren, die Audit-Logs des API-Servers besser an eigene Bedürfnisse anpassen.

Einfacher Umgang mit Stateful Sets

Zustandsorientierte Anwendungen (Stateful Sets) lassen sich nun einfacher aktualisieren, die Ankündigung nennt Kafka, Zookeeper und Etcd als Beispiele. Kubernetes 1.7 ermöglicht zudem verschiedene Update-Strategien, was Rolling Updates einschließt. Leistungsgewinne ergeben sich, weil Stateful Sets nun auch ein schnelles Skalieren und Starten von Anwendungen beherrschen, die keine Anordnungen aus der Pod-Management-Policy benötigen.

Zudem lassen sich nun lokale Storage Volumes über PVC- und PV-Schnittstellen und über Storage Classes und Stateful Sets nutzen. Das war eine häufige Forderung für zustandsorientierte Anwendungen, die Technologie steckt aber noch in der Alpha-Phase. Für Daemon Sets gibt es zudem neuerdings intelligente Rollback- und History-Fähigkeiten. Nicht zuletzt stellte das neue Storage OS Volume Plugin clusterweit hochverfügbare persistente Volumes aus lokalem oder zugewiesenem Storage bereit.

Neue APIs in ein laufendes Cluster einzufügen ist dank API Aggregation nun einfacher, das Container Runtime Interface (CRI) erhält dank eines neuen RPC-Calls Metriken von einem Container. Weitere Änderungen und Neuerungen, aber auch Informationen zu ausrangierten Features, liefert die Ankündigung der neuen Version 1.7. Die neue Version steht auf Github zum Download bereit.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

Folgen Sie uns
       


Nubia X - Hands on (CES 2019)

Das Nubia X hat nicht einen, sondern gleich zwei Bildschirme. Wie der Hersteller die Dual-Screen-Lösung umgesetzt hat, haben wir uns auf der CES 2019 angeschaut.

Nubia X - Hands on (CES 2019) Video aufrufen
EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

    •  /