Gardener项目v1.118.2版本发布：关键安全修复与功能优化

项目简介

Gardener是Kubernetes生态系统中一个重要的开源项目，它提供了一个完整的Kubernetes集群生命周期管理解决方案。作为一个云原生项目，Gardener允许用户在多个云提供商上轻松创建、管理和扩展Kubernetes集群。它采用了"集群即服务"的理念，通过抽象底层基础设施的复杂性，为用户提供统一的集群管理体验。

安全更新

本次v1.118.2版本包含了两个关键的安全修复，涉及权限提升问题的修补：

1. 元数据处理问题修复
   在gardenlet组件中发现了一个严重问题(CVE-2025-47284)，该问题可能允许具有项目管理员权限的用户获取对种子集群的控制权。用户可以通过处理特定元数据到项目密钥中实现权限提升。该问题的CVSS评分为9.9(严重级别)，影响范围包括v1.116.4、v1.117.5和v1.119.0之前的所有版本。

2. 项目密钥验证机制修复
   另一个严重问题(CVE-2025-47283)修复了项目密钥验证机制中的缺陷，同样可能导致权限提升问题。用户可以绕过验证检查，获取对种子集群的控制权。这个问题同样被评为CVSS 9.9分，影响范围与第一个问题相同。

这些安全修复对于所有使用Gardener的生产环境都至关重要，特别是那些托管多租户集群的环境。管理员应尽快升级到v1.118.2或更高版本以确保系统安全。

功能改进与Bug修复

权限管理优化

本次更新改进了Gardener Operator中使用的服务账户权限。修复了一个阻止system:serviceaccount:kube-system:gardener-internal服务账户标记受限资源的问题。这一改进使得Operator能够更有效地管理集群资源，特别是在处理权限敏感的标签操作时。

资源管理增强

1. 忽略特定元数据
   在创建种子集群中的控制平面命名空间引用资源时，现在会忽略特定的注解和标签。这一变化提高了系统的稳定性，防止了不必要的元数据传播导致的潜在问题。

2. Prometheus资源配置优化
   针对prometheus-shoot组件，将最小允许CPU设置为150m，以避免频繁的Pod驱逐。这一调整显著提高了监控系统的稳定性，特别是在资源受限的环境中。

身份验证与授权改进

1. 项目所有者修改权限控制
   新增了严格的权限检查，确保只有项目所有者或具有特定用户访问管理(UAM)角色的项目成员才能修改项目所有者信息。这一改进增强了系统的安全性，防止了未经授权的项目所有权变更。

2. 扩展准入Webhook验证
   现在确保扩展准入Webhook正确验证了Shoot资源中引用的WorkloadIdentity和Secret。这一变化提高了系统的安全性，防止了无效或恶意配置的传播。

开发者体验改进

针对本地开发环境，修复了admission-local部署与KinD(Kubernetes in Docker)测试设置的兼容性问题。这一改进使得开发者能够更轻松地在本地环境中测试和调试Gardener组件。

组件与依赖更新

本次发布包含了多个组件的版本更新：

• 控制平面组件(controlplane)更新至v1.118.2
• Gardenlet组件更新至v1.118.2
• Operator组件更新至v1.118.2
• 资源管理器(resource-manager)更新至v1.118.2

此外，仪表盘(dashboard)依赖也从1.80.1升级到了1.80.2版本，带来了更好的用户体验和稳定性改进。

升级建议

对于所有使用受影响版本(v1.116.4、v1.117.5和v1.119.0之前)的Gardener部署，强烈建议立即升级到v1.118.2或更高版本。升级前应仔细阅读发布说明，并确保备份关键配置和数据。

对于生产环境，建议先在测试环境中验证升级过程，确保所有自定义配置和扩展与新版本兼容。特别注意检查任何依赖于被忽略的注解或标签的工作流程，确保它们不会受到影响。

总结

Gardener v1.118.2版本是一个重要的维护更新，主要解决了两个关键的安全问题，并带来了多项功能改进和稳定性增强。这些变化进一步巩固了Gardener作为企业级Kubernetes管理解决方案的地位，特别是在多租户和安全性要求高的环境中。项目团队持续关注用户体验和系统安全，通过定期更新确保平台保持最佳状态。