“Kubernetes 1.25:对使用用户名字空间运行 Pod 提供 Alpha 支持”

作者: Rodrigo Campos(Microsoft)、Giuseppe Scrivano(Red Hat)

Kubernetes v1.25 引入了对用户名字空间的支持。

这是在 Kubernetes 中运行安全工作负载的一项重大改进。 每个 Pod 只能访问系统上可用 UID 和 GID 的有限子集, 因此添加了一个新的安全层来保护 Pod 免受运行在同一系统上的其他 Pod 的影响。

它是如何工作的?

在 Linux 上运行的进程最多可以使用 4294967296 个不同的 UID 和 GID。

用户名字空间是 Linux 的一项特性,它允许将容器中的一组用户映射到主机中的不同用户, 从而限制进程可以实际使用的 ID。 此外,在新用户名字空间中授予的权能不适用于主机初始名字空间。

它为什么如此重要?

用户名字空间之所以重要,主要有两个原因:

  • 提高安全性。因为它们限制了 Pod 可以使用的 ID, 因此每个 Pod 都可以在其自己的具有唯一 ID 的单独环境中运行。

  • 以更安全的方式使用 root 身份运行工作负载。

在用户名字空间中,我们可以将 Pod 内的 root 用户映射到容器外的非零 ID, 容器将认为是 root 身份在运行,而从主机的角度来看,它们是常规的非特权 ID。

该进程可以保留通常仅限于特权 Pod 的功能,并以安全的方式执行这类操作, 因为在新用户名字空间中授予的功能不适用于主机初始名字空间。

如何启用用户名字空间

目前,对用户名字空间的支持是可选的,因此你必须在 Pod 规约部分将 hostUsers 设置为 false 以启用用户名字空间:

apiVersion: v1
kind: Pod
spec:
  hostUsers: false
  containers:
  - name: nginx
    image: docker.io/nginx

该特性目前还处于 Alpha 阶段,默认是禁用的,因此在使用此新特性之前, 请确保启用了 UserNamespacesStatelessPodsSupport 特性门控。

此外,运行时也必须支持用户名字空间:

  • Containerd:计划在 1.7 版本中提供支持。 进一步了解,请参阅 Containerd issue #7063

  • CRI-O:v1.25 支持用户名字空间。

cri-dockerd 对用户名字空间的支持尚无计划

我如何参与?

你可以通过多种方式联系 SIG Node:

你也可以直接联系我们: