Kubernetes v1.36: Haru

Live: Kubernetes v1.36: Haru Рассмотрим нововведение: Функция NodeLogQuery контроля доступа включена по умолчанию Плагин gitRepovolumes удален навсегда Service.spec.externalIPs устарело. Это поле является известным вектором атаки типа MITM (Man-in-the-Middle) со времен CVE-2020-8554. И многое другое Обсудим примеры применения, что еще сырое, а что must have и срочно надо внедрять) ❤️ Главный по безопасным кубикам - Алексей Федулаев @int0x80h ❤️ Админ Девелоперович - Георг Гаал @gecube Традиционно обозревают новую версию Kubernetes 1.36 При поддержке: @kuber_community @ever_secure @devopsforlove @kubernetes_ru ⏰ ТАЙМКОДЫ: 00:00:00 - Приветствие 00:01:05 - Проблемы безопасности 00:06:35 - Kubernetes v1.36: Haru - 70 изменений 00:07:43 - Новый gRPC API для подов на узле 00:09:24 - Внедрение CRI List Streaming 00:11:40 - Pod-level resource managers - управляем ресурсами на уровне пода 00:14:02 - Удобное дополнение ContainerStopSignals 00:15:00 - Pod-level ресурсы при вертикальном масштабировании в Kubernetes 00:17:01 - Песочница для пода создаётся до запуска контейнеров 00:20:14 - Workload-Aware Scheduling, WAS: Управление группировкой перезапуска контейнеров 00:21:14 - Что такое Node Declared Features? 00:24:35 - Поддержка метрик PSI достигла стабильного статуса 00:26:34 - Появилась точная (гранулярная) авторизация API kubelet 00:27:36 - Особенности OCI VolumeSource 00:28:57 - Улучшения с топологией и планированием 00:36:40 - Появилась новая метрика PVC 00:38:49 - Изменения, связанные с CSI 00:42:42 - Особенности обработки завершения в некоторых контроллерах 00:44:00 - Manifest-based admission control (манифестный контроль допуска) 00:54:18 - Новая фича - Декларативная валидация! 00:55:35 - Constrained Impersonation в рамках KEP про доп.безопасность 00:58:30 - Service.spec.externalIPs устарело! 01:00:30 - Плагин томов gitRepo удален навсегда 01:01:02 - Итоги обзора