Seguridad y gestión en el menú de actualizaciones de Kubernetes 1.26

No es necesario esperar una actualización importante para beneficiarse de una lluvia de características. La prueba con Kubernetes cuya última iteración 1.26 está llena de mejoras con nada menos que 37 adiciones, incluidas 11 estables, 10 beta y 16 alfa. Para esta actualización de versión, notamos en particular mucho trabajo para mejorar el entorno de trabajo para los desarrolladores y la seguridad del orquestador de contenedores. En particular, esto involucra la función de firma sin llave de los artefactos binarios: “el proceso de publicación de Kubernetes firma todos los artefactos binarios (tarballs, archivos SPDX, binarios independientes) utilizando la solución Cosign. Con este paso, el proceso de lanzamiento mejora la seguridad relacionada con el ciclo de vida de desarrollo de software (cadena de suministro) ”, dice Aquasec en una publicación de blog What's New de Kubernetes 1.26.

La firma digital ayuda a mejorar la autenticidad del código y proporciona una cadena de confianza esencial para habilitar listas de materiales de software seguras (SBOM). Esta función responde a la proliferación de amenazas dirigidas a grupos de contenedores y la malicia de los piratas informáticos que buscan los grupos de K8 expuestos en la web para, por ejemplo, ocultar malware en las actualizaciones de software. Con la firma sin llave basada en la tecnología Cosign de código abierto de la iniciativa sigstore respaldada por Chainguard, los desarrolladores pueden agregar metadatos a cada una de sus actualizaciones para garantizar su autenticidad y que no presenten ningún riesgo para ser instaladas.

Tableros más fáciles de crear para monitorear los entornos de K8

También se avanzan funciones para facilitar la gestión de los despliegues de entornos de Kubernetes, en particular las tareas de mantenimiento. "La función VolumeSnapshot permite a los usuarios de Kubernetes aprovisionar volúmenes a partir de instantáneas de volúmenes, lo que brinda grandes beneficios a los usuarios y las aplicaciones, como la posibilidad de que los administradores de bases de datos tomen una instantánea de los datos antes de cualquier operación crítica, o la posibilidad de desarrollar e implementar soluciones de respaldo. ”, explica Sysdig.

La función DynamicResourceAllocation también hace su aparición al solicitar y compartir recursos entre diferentes pods y/o entre pods y contenedores. "Es una generalización de la API de volúmenes persistentes para recursos genéricos", dice Aqua. También se simplifica la creación de un tablero para monitorear el estado de una implementación de Kubernetes: “A partir de Kubernetes 1.26, puede configurar las métricas del indicador de nivel de servicio (SLI) para los binarios de los componentes de Kubernetes. Una vez que los habilite, Kubernetes expondrá las métricas de SLI en el punto final /metrics/slis, por lo que no necesitará un exportador de Prometheus. Esto puede llevar el monitoreo de Kubernetes a otro nivel, lo que facilita la creación de paneles de estado y la configuración de alertas de PromQL para mantener estable su clúster”, señala Sysdig.