Qualche giorno fa è stata rilasciata la versione 1.4 di Kuberbenets (su cui potete trovare altre notizie qui), il famoso cluster manager opensource basato sui container.
Il punto focale di questa release riguarda la sicurezza; molto interessante la possibilità di fare il bootstrap di nuovi nodi tramite TLS, feature che rende più sicuro il moving dei dati tra i vari nodi del cluster.
The TLS bootstrapping work done in Kubernetes 1.4 is a step toward automating the addition of new hosts to the Kubernetes cluster
Il lavoro sul bootstrapping in TLS fatto in Kubernetes 1.4 è un passo avanti verso l’automatizzazione dell’aggiunta di nuovi host al cluster Kubernetes
Questo quanto affermato da Clayton Colmean, lead architect di OpenShift per RedHat. OpenShift è il PaaS (Platform as as Service) di RedHat, ed è basato attualmente su container Docker e Kubernetes; la versione 1.4 di quest’ultimo è già disponibile nel progetto upstream di OpenShift e, nel tardo autunno, il supporto commerciale di RedHat sarà aggiornato per coprire anche Kubernetes 1.4.
Anche da CoreOS, come contributor di Kubernetes che fornisce anche una distribuzione commercialmente supportata chiamata Tectonic, arrivano apprezzamenti a riguardo. Prima della versione 1.4 di Kubernetes i canali di comunicazione tra i kubelet (una parte del core di Kubernetes e l’agent primario che gira sui nodi del cluster) ed il server delle API (che si occupa di orchestrare il tutto) era in sicurezza solo in una direzione, senza possibilità di configurazione manuale:
This change allows kubelets to request cryptographic assets [certificates] that identify them as approved members of the cluster when talking to the API server
Questo [il bootstrap TLS, N.d.r] cambiamento permette ai kubelets di richiedere un asset crittografato [certificato] che lo identifichi come un membro autorizzato del cluster quando dialoga con il server API.
Oltre a questo, diverse altre funzionalità sono state incluse pensando ad un uso più sicuro della piattaforma, come l’image policy webhook, che può assicurarsi che nessun container eseguito da immagini “malevoli” possa essere eseguito sul cluster.
Maggiori informazioni su quanto incluso nella versione 1.4 di Kubernetes potete trovarle nel post ufficiale di rilascio.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento