Kubernetes 1.15: SIG-Auth の変更内容

はじめに

このページではKubernetes v1.15におけるSIG-Authに関連する取り組みをまとめています。

がついた文章は、CHANGELOGの公式内容ではなく筆者の補足です。

アップグレード時の注意点 (Urgent Upgrade Notes)

• Rancher クレデンシャルプロバイダーが除去されました。これは1.6の古いバージョンのRancherを使っている場合に影響があります。(#77099, @dims)

Rancherの1.6ブランチで対象のコードを参照していたようですが現在の2.2では利用されておらず、またRahcner以外で利用されていないため除去されたようです。

注目機能 (Notable Features)

Beta

• GMSAアカウントのサポート機能はベータ用の新しいAPIに移行しました。 またそのための特別なアノテーションは廃止されました。(#75459, @wk8)

Windowsノードで動作するPod/ContainerにGMSAを設定することができる機能です。この機能ではGMSACredentialSpecというCRDを定義し、Podから参照されますが、これまでアノテーションでそのリソースのNameを指定していたものが、PodのSpecとして指定できるようになりました。

Misc

• サービスアカウントコントローラのクライアントはTokenRequest APIを使用するようになり、トークンは定期的にローテーションされます。(#72179, @WanLinghao)

安全にSAトークンを扱うにあたって、これまで固定のSAトークンを使っていたものを、まずはTokenRequest APIを使い期限付きのトークンを発行してローテーションされるようにしていくようです。

その他の注目機能 (Other notable changes)

• OIDC認証でclient secretに特殊文字を含んだ場合にリフレッシュが正しく動作しない不具合を修正 (#76914, @tsuna)
• kubectl auth can-i コマンドでスコープ外のリソースにアクセスしようとした場合のエラー処理を改善 (#76014, @WanLinghao)
• tokenreviews, subjectaccessreviews, localsubjectaccessreviews, selfsubjectaccessreviews, selfsubjectrulesreviews のリソースに対する CREATE 操作において、Validating admission webhooks が正しく呼ばれるようになりました。 (#76959, @sbezverk)