首页
/ Gardener项目v1.118.2版本发布:关键安全修复与功能优化

Gardener项目v1.118.2版本发布:关键安全修复与功能优化

2025-06-16 20:38:40作者:卓艾滢Kingsley

项目简介

Gardener是Kubernetes生态系统中一个重要的开源项目,它提供了一个完整的Kubernetes集群生命周期管理解决方案。作为一个云原生项目,Gardener允许用户在多个云提供商上轻松创建、管理和扩展Kubernetes集群。它采用了"集群即服务"的理念,通过抽象底层基础设施的复杂性,为用户提供统一的集群管理体验。

安全更新

本次v1.118.2版本包含了两个关键的安全修复,涉及权限提升问题的修补:

  1. 元数据处理问题修复
    在gardenlet组件中发现了一个严重问题(CVE-2025-47284),该问题可能允许具有项目管理员权限的用户获取对种子集群的控制权。用户可以通过处理特定元数据到项目密钥中实现权限提升。该问题的CVSS评分为9.9(严重级别),影响范围包括v1.116.4、v1.117.5和v1.119.0之前的所有版本。

  2. 项目密钥验证机制修复
    另一个严重问题(CVE-2025-47283)修复了项目密钥验证机制中的缺陷,同样可能导致权限提升问题。用户可以绕过验证检查,获取对种子集群的控制权。这个问题同样被评为CVSS 9.9分,影响范围与第一个问题相同。

这些安全修复对于所有使用Gardener的生产环境都至关重要,特别是那些托管多租户集群的环境。管理员应尽快升级到v1.118.2或更高版本以确保系统安全。

功能改进与Bug修复

权限管理优化

本次更新改进了Gardener Operator中使用的服务账户权限。修复了一个阻止system:serviceaccount:kube-system:gardener-internal服务账户标记受限资源的问题。这一改进使得Operator能够更有效地管理集群资源,特别是在处理权限敏感的标签操作时。

资源管理增强

  1. 忽略特定元数据
    在创建种子集群中的控制平面命名空间引用资源时,现在会忽略特定的注解和标签。这一变化提高了系统的稳定性,防止了不必要的元数据传播导致的潜在问题。

  2. Prometheus资源配置优化
    针对prometheus-shoot组件,将最小允许CPU设置为150m,以避免频繁的Pod驱逐。这一调整显著提高了监控系统的稳定性,特别是在资源受限的环境中。

身份验证与授权改进

  1. 项目所有者修改权限控制
    新增了严格的权限检查,确保只有项目所有者或具有特定用户访问管理(UAM)角色的项目成员才能修改项目所有者信息。这一改进增强了系统的安全性,防止了未经授权的项目所有权变更。

  2. 扩展准入Webhook验证
    现在确保扩展准入Webhook正确验证了Shoot资源中引用的WorkloadIdentity和Secret。这一变化提高了系统的安全性,防止了无效或恶意配置的传播。

开发者体验改进

针对本地开发环境,修复了admission-local部署与KinD(Kubernetes in Docker)测试设置的兼容性问题。这一改进使得开发者能够更轻松地在本地环境中测试和调试Gardener组件。

组件与依赖更新

本次发布包含了多个组件的版本更新:

  • 控制平面组件(controlplane)更新至v1.118.2
  • Gardenlet组件更新至v1.118.2
  • Operator组件更新至v1.118.2
  • 资源管理器(resource-manager)更新至v1.118.2

此外,仪表盘(dashboard)依赖也从1.80.1升级到了1.80.2版本,带来了更好的用户体验和稳定性改进。

升级建议

对于所有使用受影响版本(v1.116.4、v1.117.5和v1.119.0之前)的Gardener部署,强烈建议立即升级到v1.118.2或更高版本。升级前应仔细阅读发布说明,并确保备份关键配置和数据。

对于生产环境,建议先在测试环境中验证升级过程,确保所有自定义配置和扩展与新版本兼容。特别注意检查任何依赖于被忽略的注解或标签的工作流程,确保它们不会受到影响。

总结

Gardener v1.118.2版本是一个重要的维护更新,主要解决了两个关键的安全问题,并带来了多项功能改进和稳定性增强。这些变化进一步巩固了Gardener作为企业级Kubernetes管理解决方案的地位,特别是在多租户和安全性要求高的环境中。项目团队持续关注用户体验和系统安全,通过定期更新确保平台保持最佳状态。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
139
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
923
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
74
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8