🚀Kubernetes v1.33: User namespaces включены по умолчанию!
Теперь, если ваша инфраструктура поддерживает необходимые требования, Kubernetes позволит подам автоматически использовать user namespaces — без дополнительных флагов и включений.
Что такое user namespace? Это функция Linux, которая разделяет идентификаторы пользователей (UID/GID) между контейнером и хостом. Процесс может быть root внутри контейнера, но на хосте — обычный непривилегированный пользователь. Это значительно повышает безопасность: - Предотвращает боковые атаки между контейнерами - Изолирует контейнер от хоста, даже при повышенных правах
Что нужно для работы? - Kubernetes v1.33+ - Включение в Pod манифесте: spec.hostUsers: false - Поддержка idmap mounts на файловых системах (нужен Linux 6.3+) - Совместимый runtime: containerd ≥ 2.0 или CRI-O ≥ 1.25
Почему это важно? Теперь можно безопаснее запускать приложения с root-привилегиями внутри контейнера — без риска для узла и других подов. Это решение позволяет реализовывать задачи CI/CD, вложенные контейнеры и контейнеры внутри Kubernetes (Docker-in-Docker) безопаснее и проще.
🚀Kubernetes v1.33: User namespaces включены по умолчанию!
Теперь, если ваша инфраструктура поддерживает необходимые требования, Kubernetes позволит подам автоматически использовать user namespaces — без дополнительных флагов и включений.
Что такое user namespace? Это функция Linux, которая разделяет идентификаторы пользователей (UID/GID) между контейнером и хостом. Процесс может быть root внутри контейнера, но на хосте — обычный непривилегированный пользователь. Это значительно повышает безопасность: - Предотвращает боковые атаки между контейнерами - Изолирует контейнер от хоста, даже при повышенных правах
Что нужно для работы? - Kubernetes v1.33+ - Включение в Pod манифесте: spec.hostUsers: false - Поддержка idmap mounts на файловых системах (нужен Linux 6.3+) - Совместимый runtime: containerd ≥ 2.0 или CRI-O ≥ 1.25
Почему это важно? Теперь можно безопаснее запускать приложения с root-привилегиями внутри контейнера — без риска для узла и других подов. Это решение позволяет реализовывать задачи CI/CD, вложенные контейнеры и контейнеры внутри Kubernetes (Docker-in-Docker) безопаснее и проще.
The court said the defendant had also incited people to commit public nuisance, with messages calling on them to take part in rallies and demonstrations including at Hong Kong International Airport, to block roads and to paralyse the public transportation system. Various forms of protest promoted on the messaging platform included general strikes, lunchtime protests and silent sit-ins. Select: Settings – Manage Channel – Administrators – Add administrator. From your list of subscribers, select the correct user. A new window will appear on the screen. Check the rights you’re willing to give to your administrator. When choosing the right name for your Telegram channel, use the language of your target audience. The name must sum up the essence of your channel in 1-3 words. If you’re planning to expand your Telegram audience, it makes sense to incorporate keywords into your name. With the “Bear Market Screaming Therapy Group,” we’ve now transcended language. Just at this time, Bitcoin and the broader crypto market have dropped to new 2022 lows. The Bitcoin price has tanked 10 percent dropping to $20,000. On the other hand, the altcoin space is witnessing even more brutal correction. Bitcoin has dropped nearly 60 percent year-to-date and more than 70 percent since its all-time high in November 2021.
from us
