Pas besoin d'attendre une mise à jour majeure pour bénéficier d'une pluie de fonctionnalités. La preuve avec Kubernetes dont la dernière itération 1.26 regorge d'améliorations avec pas moins de 37 ajouts dont 11 stables, 10 bêta et 16 alpha. Pour cette montée de version, on retiendra en particulier un gros travail pour améliorer l'environnement de travail des développeurs et la sécurité de l'orchestrateur de containers. Cela passe en particulier par la fonction de signature sans clé d'artefacts binaires : « le processus de publication de Kubernetes signe tous les artefacts binaires (tarballs, fichiers SPDX, binaires autonomes) à l'aide de la solution Cosign. Avec cette étape, le processus de publication améliore la sécurité liée au cycle de développement (supply chain) des logiciels », indique Aquasec dans un billet de blog des nouveautés de Kubernetes 1.26.
La signature numérique contribue à améliorer l'authenticité du code ainsi qu'à fournir une chaîne de confiance essentielle pour l'activation des nomenclatures logicielles sécurisées (SBOM). Cette fonction répond à la multiplication des menaces ciblant les clusters de containers et la malveillance des pirates à l'affût des clusters K8's exposés sur le web pour, par exemple, cacher des malwares dans des mises à jour logicielles. Avec la signature sans clé reposant sur la technologie open source Cosign de l'initiative sigstore portée par Chainguard, les développeurs sont ainsi en mesure d'ajouter des métadonnées à chacune de leurs mises à jour pour assurer leur authenticité et qu'elles ne présentent aucun risque à être installées.
Des tableaux de bord plus simples à créer pour surveiller les environnements K8's
Des fonctions sont également poussées pour faciliter la gestion des déploiements des environnements Kubernetes notamment les tâches de maintenance. « La fonctionnalité VolumeSnapshot permet aux utilisateurs de Kubernetes de provisionner des volumes à partir d'instantanés de volume, offrant de grands avantages aux utilisateurs et aux applications, comme la possibilité pour les administrateurs de base de données de prendre un snapshot d'une base de données avant toute opération critique, ou la possibilité de développer et de mettre en œuvre des solutions de sauvegarde », explique de son côté Sysdig.
La fonctionnalité DynamicResourceAllocation fait aussi son apparition en demandant et partageant des ressources entre différents pods et/ou entre les pods et les conteneurs. « Il s'agit d'une généralisation de l'API des volumes persistants pour les ressources génériques », précise Aqua. La création d'un tableau de bord pour surveiller l'état d'un déploiement Kubernetes est aussi simplifié : « Depuis Kubernetes 1.26, vous pouvez configurer des métriques d'indicateur de niveau de service (SLI) pour les binaires des composants Kubernetes. Une fois que vous les avez activés, Kubernetes exposera les métriques SLI dans le point de terminaison /metrics/slis - vous n'aurez donc pas besoin d'un exportateur Prometheus. Cela peut amener la surveillance de Kubernetes à un autre niveau, ce qui facilite la création de tableaux de bord de santé et la configuration des alertes PromQL pour assurer la stabilité de votre cluster », note Sysdig.
Commentaire