• IT-Karriere:
  • Services:

Container-Orchestrierung: Kubernetes 1.7 stärkt Sicherheit und Stateful Sets

Vor allem in Sachen Sicherheit legt das neue Kubernetes 1.7 nach. Darüber hinaus haben die Entwickler der Container-Orchestrierung Verbesserungen für Stateful Sets und Daemon Sets vorgenommen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Container müssen gesteuert werden, dafür sorgt Kubernetes.
Container müssen gesteuert werden, dafür sorgt Kubernetes. (Bild: US Coast Guard Academy/Public Domain)

Für die aktuelle Version 1.7 verändern die Entwickler der Container-Orchestrierung Kubernetes einige Dinge an der Sicherheit der Anwendung. So gilt das Network Policy API nun als stabil. Die Schnittstelle ermöglicht es Nutzern, Regeln für die Kommunikation zwischen Pods und Nodes zu definieren und zu verwalten.

Stellenmarkt
  1. Oskar Böttcher GmbH & Co. KG, Berlin
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Der Node Authorizer und das Admission Control Plugin beschneiden den Zugriff von Kubelets auf Secrets, Pods und andere Objekte basierend auf dem Node. Zugleich gibt es erste Ansätze, Secrets und andere Etcd-Ressourcen zu verschlüsseln. TLS-Client- und -Server-Zertifkate lassen sich nun beim TLS-Bootstraping von Kubelets rotieren, die Audit-Logs des API-Servers besser an eigene Bedürfnisse anpassen.

Einfacher Umgang mit Stateful Sets

Zustandsorientierte Anwendungen (Stateful Sets) lassen sich nun einfacher aktualisieren, die Ankündigung nennt Kafka, Zookeeper und Etcd als Beispiele. Kubernetes 1.7 ermöglicht zudem verschiedene Update-Strategien, was Rolling Updates einschließt. Leistungsgewinne ergeben sich, weil Stateful Sets nun auch ein schnelles Skalieren und Starten von Anwendungen beherrschen, die keine Anordnungen aus der Pod-Management-Policy benötigen.

Zudem lassen sich nun lokale Storage Volumes über PVC- und PV-Schnittstellen und über Storage Classes und Stateful Sets nutzen. Das war eine häufige Forderung für zustandsorientierte Anwendungen, die Technologie steckt aber noch in der Alpha-Phase. Für Daemon Sets gibt es zudem neuerdings intelligente Rollback- und History-Fähigkeiten. Nicht zuletzt stellte das neue Storage OS Volume Plugin clusterweit hochverfügbare persistente Volumes aus lokalem oder zugewiesenem Storage bereit.

Neue APIs in ein laufendes Cluster einzufügen ist dank API Aggregation nun einfacher, das Container Runtime Interface (CRI) erhält dank eines neuen RPC-Calls Metriken von einem Container. Weitere Änderungen und Neuerungen, aber auch Informationen zu ausrangierten Features, liefert die Ankündigung der neuen Version 1.7. Die neue Version steht auf Github zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 25,99€
  2. 10,29€
  3. 39,99€ (Release 4. Dezember)
  4. 10,49€

Folgen Sie uns
       


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  2. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar
  3. Smartwatch Apple Watch 3 hat Probleme mit Watch OS 7

    •  /