Suche
Sicher am Containersteuer

Kubernetes 1.7: Großes Sicherheitsupdate für Googles Orchestrierungswerkzeug

Dominik Mohilo

© Shutterstock.com / GRSI

Google hat es wieder getan. Exakt drei Monate nach dem letzten Release erscheint mit Kubernetes 1.7 der nächste Meilenstein für das Orchestrierungssystem von Google. Im Fokus lagen diesmal die Erhöhung der Sicherheit, Stateful Workloads und die Erweiterbarkeit. Wir haben uns angesehen, mit welchen Features Kubernetes in den Sommer startet.

Vor relativ genau drei Jahren zog Kubernetes aus, die Containerwelt zu revolutionieren. Seitdem ist viel an dem Tool gearbeitet worden, allein für das Haupt-Repository wurden schon über 50.000 Commits gepusht. Bereits jetzt gilt Kubernetes (auch als K8s bekannt) als eines der am stärksten wachsenden Open-Source-Projekte aller Zeit.

Neue Features in Kubernetes 1.7

Sicherheit

Gleich fünf Features hat die aktuellste Version von Kubernetes im Gepäck. Dazu zählt zum Beispiel das Network Policy API, das die Testphase verlassen hat und nun stabil laufen sollte. Durch die Network Policy, die über ein Netzwerk-Plug-in implementiert wird, können Nutzer eine Reihe von Regeln bestimmen und durchsetzen, die regulieren, welche Pods miteinander kommunizieren können.

Um den Zugriff von kubelet auf Secrets, Pods und andere Objekte abhängig von dessen Node einzuschränken, können ab Kubernetes 1.7 Plug-ins für die Node-Autorisierung und die Admission Control genutzt werden. Secrets und andere Ressourcen können zudem in etcd jetzt auch verschlüsselt werden, dabei handelt es sich allerdings um ein Feature im Alphastadium.

Lesen Sie auch: Cloud-native Anwendungen mit Mesos, Kubernetes und Spring Cloud bauen

Für zusätzliche Sicherheit sorgt das Kubelet TLS Bootstrapping, das nun Certificate Rotation sowohl klient- als auch serverseitig unterstützt. Schließlich und endlich sind die Audit Logs, die vom API-Server gespeichert werden, nun individualisierbarer und erweiterbarer. Außerdem unterstützen sie jetzt das Filtern nach Events sowie Webhooks und stellen reichhaltigere Daten für Systemprüfungen zur Verfügung.

Stateful Workloads

Im Bereich Stateful Workloads gibt es ein neues Feature, dass sich derzeit noch in der Betaphase befindet: StatefulSet Updates. Hiermit können zustandsbehaftete Anwendungen wie Kafka, Zookeeper und etcd automatisiert aktualisiert werden. Dabei können viele verschiedene Updatestrategien genutzt werden, unter anderem Rolling Updates.

Auch eines der am meistgefragtesten Features, Local Storage für zustandsbehaftete Anwendungen, ist nun Teil von Kubernetes. Nutzer können bei Verwendung von Kubernetes 1.7 über das normale PVC/PV-Interface und über StorageClasses in StatefulSets auf lokale Speicherkapazitäten zugreifen. Das neue StorageOS-Volume-Plug-in stellt zudem hochverfügbare clusterweite persistente Speicher von lokalen bzw. angehängten Node Storages zur Verfügung.

Erweiterbarkeit

Das mächtigste Feature in Sachen Erweiterbarkeit ist, laut den Machern von Kubernetes, die API-Aggregation während der Laufzeit. Durch sie sind Nutzer in der Lage, APIs zu ihrem Cluster hinzuzufügen, die im Kubernetes-Stil gebaut sind. Diese können entweder von Drittanbietern kommen oder von den Nutzern selbst erstellt worden sein.

Das Container Runtime Interface (CRI) wurde ebenfalls überarbeitet. Dank der neuen RPC-Calls können Containermetriken von der Laufzeit erhalten werden. Es wurden Validierungstests für das CRI veröffentlicht und die Integration in containerd 1.0 befindet sich im Alphastadium, ist aber schon verfügbar. Letztere unterstützt dabei unter anderem Image-Management.

Sehen Sie auch: Unser Interview mit Philipp Garbe zum Thema „Welches Orchestrierungstool passt zu mir?“

Eine vollständige Liste aller Änderungen in Kubernetes 1.7 gibt es in den Release Notes auf GitHub, dort kann man sich das Tool in der aktuellsten Version auch herunterladen. Auf dem Blog von Kubernetes gehen die Entwickler im Detail auf einige der Highlights ein.

Geschrieben von
Dominik Mohilo
Dominik Mohilo
Dominik Mohilo studierte Germanistik und Soziologie an der Goethe-Universität in Frankfurt. Seit 2015 ist er Redakteur bei S&S-Media.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.