DEVOPSITSEC Telegram 1706
tgoop.com » United States » DevOps » Telegram web » Post 1706
DevOps
🚀 Kubernetes v1.33: User namespaces включены по умолчанию!

Теперь, если ваша инфраструктура поддерживает необходимые требования, Kubernetes позволит подам автоматически использовать user namespaces — без дополнительных флагов и включений.

Что такое user namespace?
Это функция Linux, которая разделяет идентификаторы пользователей (UID/GID) между контейнером и хостом. Процесс может быть root внутри контейнера, но на хосте — обычный непривилегированный пользователь. Это значительно повышает безопасность:
- Предотвращает боковые атаки между контейнерами
- Изолирует контейнер от хоста, даже при повышенных правах

Что нужно для работы?
- Kubernetes v1.33+
- Включение в Pod манифесте: spec.hostUsers: false
- Поддержка idmap mounts на файловых системах (нужен Linux 6.3+)
- Совместимый runtime: containerd ≥ 2.0 или CRI-O ≥ 1.25

Почему это важно?
Теперь можно безопаснее запускать приложения с root-привилегиями внутри контейнера — без риска для узла и других подов. Это решение позволяет реализовывать задачи CI/CD, вложенные контейнеры и контейнеры внутри Kubernetes (Docker-in-Docker) безопаснее и проще.

Подробнее: официальный блог от команды Kubernetes
🔥95👍4
www.tgoop.com/DevOPSitsec/1706
3.96K views



tgoop.com/DevOPSitsec/1706
Create:
Last Update:

🚀 Kubernetes v1.33: User namespaces включены по умолчанию!

Теперь, если ваша инфраструктура поддерживает необходимые требования, Kubernetes позволит подам автоматически использовать user namespaces — без дополнительных флагов и включений.

Что такое user namespace?
Это функция Linux, которая разделяет идентификаторы пользователей (UID/GID) между контейнером и хостом. Процесс может быть root внутри контейнера, но на хосте — обычный непривилегированный пользователь. Это значительно повышает безопасность:
- Предотвращает боковые атаки между контейнерами
- Изолирует контейнер от хоста, даже при повышенных правах

Что нужно для работы?
- Kubernetes v1.33+
- Включение в Pod манифесте: spec.hostUsers: false
- Поддержка idmap mounts на файловых системах (нужен Linux 6.3+)
- Совместимый runtime: containerd ≥ 2.0 или CRI-O ≥ 1.25

Почему это важно?
Теперь можно безопаснее запускать приложения с root-привилегиями внутри контейнера — без риска для узла и других подов. Это решение позволяет реализовывать задачи CI/CD, вложенные контейнеры и контейнеры внутри Kubernetes (Docker-in-Docker) безопаснее и проще.

Подробнее: официальный блог от команды Kubernetes

BY DevOps




Share with your friend now:
tgoop.com/DevOPSitsec/1706

View MORE
Open in Telegram


Telegram News

Date: |

The best encrypted messaging apps Hui said the messages, which included urging the disruption of airport operations, were attempts to incite followers to make use of poisonous, corrosive or flammable substances to vandalize police vehicles, and also called on others to make weapons to harm police. Done! Now you’re the proud owner of a Telegram channel. The next step is to set up and customize your channel. How to build a private or public channel on Telegram? Your posting frequency depends on the topic of your channel. If you have a news channel, it’s OK to publish new content every day (or even every hour). For other industries, stick with 2-3 large posts a week.
from us


🚀 Kubernetes v1.33: User namespaces включены по умолчанию!

 DevOps TG
web: 1706
DevOps.Telegram web
DevOps Telegram TG Channel
Telegram Updated:
Telegram DevOps
FROM American