はじめに
このページではKubernetes v1.15におけるSIG-Authに関連する取り組みをまとめています。
がついた文章は、CHANGELOGの公式内容ではなく筆者の補足です。
アップグレード時の注意点 (Urgent Upgrade Notes)
Rancherの1.6ブランチで対象のコードを参照していたようですが現在の2.2では利用されておらず、またRahcner以外で利用されていないため除去されたようです。
注目機能 (Notable Features)
Beta
Windowsノードで動作するPod/ContainerにGMSAを設定することができる機能です。この機能ではGMSACredentialSpecというCRDを定義し、Podから参照されますが、これまでアノテーションでそのリソースのNameを指定していたものが、PodのSpecとして指定できるようになりました。
Misc
- サービスアカウントコントローラのクライアントはTokenRequest APIを使用するようになり、トークンは定期的にローテーションされます。(#72179, @WanLinghao)
安全にSAトークンを扱うにあたって、これまで固定のSAトークンを使っていたものを、まずはTokenRequest APIを使い期限付きのトークンを発行してローテーションされるようにしていくようです。
その他の注目機能 (Other notable changes)
- OIDC認証でclient secretに特殊文字を含んだ場合にリフレッシュが正しく動作しない不具合を修正 (#76914, @tsuna)
-
kubectl auth can-iコマンドでスコープ外のリソースにアクセスしようとした場合のエラー処理を改善 (#76014, @WanLinghao) -
tokenreviews,subjectaccessreviews,localsubjectaccessreviews,selfsubjectaccessreviews,selfsubjectrulesreviewsのリソースに対する CREATE 操作において、Validating admission webhooks が正しく呼ばれるようになりました。 (#76959, @sbezverk)