Enhancements: Seccomp

作成日 2016年10月25日 · 120コメント · ソース: kubernetes/enhancements

説明

Seccompサポートは、seccompプロファイルを定義し、それらのプロファイルで実行するようにポッドを構成する機能を提供します。これには、PSPを介してプロファイルの使用を制御する機能、および制限なしで、またはデフォルトのコンテナーランタイムプロファイルを使用して実行する機能を維持する機能が含まれます。

KEP： sig-node / 20190717-seccomp-ga.md
KEPを更新するための最新のPR：＃1747

プログレストラッカー

[x]アルファ
- []書き、維持ドラフト品質のDOC：下流で利用可能OpenShift https://github.com/openshift/openshift-docs/pull/2975
- []設計承認
- [x]設計提案＃24602
- [x]この機能のコードをチェックインするリポジトリを決定します。すべてがコアkubernetesリポジトリに到達する必要はありません。 リポジトリ名
- [x]最初のAPIレビュー（APIの場合）。たぶんデザインドキュメントと同じPR。 https://github.com/kubernetes/kubernetes/pull/24602
  - APIを変更するコード（ /pkg/apis/... ）
  - cc @kubernetes/api
- []羊飼いを特定します（SIGリードおよび/または[email protected]がお手伝いします）。 私の羊飼いは： _replaceです。 [email protected]_ （および/またはGHハンドル）
  - シェパードとは、機能をリポジトリに取り込むプロセスを理解し、レビュー担当者を特定し、機能に関するフィードバックを提供するのに役立つ個人です。彼らは（必然的に）機能のコードレビューア、またはその分野の技術リーダーではありません。
  - シェパードは、Kubernetes-PMミーティングに参加したり、機能がリリース目標を達成するために順調に進んでいるかどうかを伝えたりする責任はありません。それはまだあなたの責任です。
- []セカンダリ/バックアップの連絡先を特定します。 私の二次連絡先は： _replaceです。 [email protected]_ （および/またはGHハンドル）
- []書き込み（コード+テスト+ドキュメント）してから、それらをマージします。 https://github.com/kubernetes/kubernetes/pull/25324 https://github.com/kubernetes/kubernetes/pull/26710 https://github.com/kubernetes/kubernetes/pull/27036
- []~~コードはデフォルトで無効にする必要があります。~~
- [x]最小限のテスト：限定されたe2eテストhttps://github.com/kubernetes/kubernetes/blob/33ebe1f18b9cf5909931376f656e19e80ac9ac1c/test/e2e/security_context.go#L110
- []最小限のドキュメント
  - ドキュメントPRのcc @kubernetes/docs
  - これをチェックする前に承認を得るために、この問題についてcc @kubernetes/feature-reviewers
  - 新しいAPI：ドキュメントリポジトリの_Glossary Section Item_：kubernetes / kubernetes.github.io
- [x]リリースノートの更新https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG.md/#changes-since-v130-alpha4
[]ベータ版
- []ベータ版にはテストで十分です
- []チュートリアル付きのユーザードキュメント
- ドキュメントリポジトリの_更新されたウォークスルー/チュートリアル_：kubernetes / kubernetes.github.io
- ドキュメントPRのcc @kubernetes/docs
- これをチェックする前に承認を得るために、この問題についてcc @kubernetes/feature-reviewers
- []徹底的なAPIレビュー
- cc @kubernetes/api
[ ] 安定
- [] docs / options /foo.mdがdocs / design /foo.mdに移動しました
- これをチェックする前に承認を得るために、この問題についてcc @kubernetes/feature-reviewers
- []ソーク、負荷テスト
- []詳細なユーザードキュメントと例
- cc @kubernetes/docs
- これをチェックする前に承認を得るために、この問題についてcc @kubernetes/feature-reviewers

_FEATURE_STATUSは、機能の追跡に使用され、 @kubernetes/feature-reviewersによって更新されます。_
FEATURE_STATUS：IN_DEVELOPMENT

その他のアドバイス：

設計

_ @kubernetes/feature-reviewers _メンバーからLGTMを取得したら、このチェックボックスをオンにすると、レビュー担当者は「デザイン完了」ラベルを適用します。

コーディング

必要な数のPRを使用します。都合のよいように、同じまたは異なるPRでテストを記述します。
各PRがマージされるときに、PRを参照するコメントをこの問題に追加します。コードはhttp://github.com/kubernetes/kubernetesリポジトリにあります。
また、 http ：//github.com/kubernetes/contribやその他のリポジトリもあり
コードが完成したら、「code-complete」ラベルを適用します。
機能にユーザードキュメントがある場合は、 @kubernetes/feature-reviewers言及するコメントを追加してください。
コードが提案された機能と設計に一致していること、すべてが完了していること、および適切なものがあることを確認してください
テスト。彼らは詳細なコードレビューを行いません：それはあなたのPRがレビューされたときにすでに起こっています。
それが完了したら、このボックスをチェックすると、レビュー担当者は「コード完了」ラベルを適用します。

ドキュメント

[]ユーザードキュメントを作成し、それらをマージします。
ユーザードキュメントはhttp://github.com/kubernetes/kubernetes.github.ioにアクセスし
機能にユーザードキュメントがある場合は、 @kubernetes/docs言及するコメントを追加してください。
LGTMを入手したら、このチェックボックスをオンにすると、レビュー担当者は「docs-complete」ラベルを適用します。

kinapi-change kinfeature sinode stagstable

ソース

pweil-

👍2

最も参考になるコメント

そして、なんらかの方法でデータを収集し、X％のケースで何もログに記録されていないことを示すことができれば、デフォルトのプロファイルで問題が発生することはありません。次に、ログをkillに変更することを提案できます。データ部分の収集はトリッキーで、多くの作業になる可能性があります。

Dockerのdockerデフォルトプロファイルを起動するときに、

tallclair 2018年09月20日

👍7 ❤1

全てのコメント120件

@derekwaynecarr @sttts @erictuneはこの問題を

@stttsドキュメントとPRへの適切なリンクを提供できますか？私はあなたがこのコードに最も近いと思います。

pweil- 2016年10月25日

@ pweil- @sttts -我々の議論ごとに、これは我々が@ kubernetes / SIG-ノードの下Kubernetes 1.6にスポンサーしたい機能です

derekwaynecarr 2016年10月25日

@ pweil- @derekwaynecarr 、この機能を1.6マイルストーンに設定する必要があることを確認してください。

idvoretskyi 2016年10月26日

@ idvoretskyi1.6のベータ版に移行することを目標としています。

sttts 2016年10月26日

@stttsありがとう。

idvoretskyi 2016年10月26日

これはまだアルファのようです：

https://github.com/kubernetes/community/blob/master/contributors/design-proposals/seccomp.md
https://github.com/kubernetes/kubernetes/blob/master/pkg/api/annotation_key_constants.go#L35

また、kubernetes.io / docsにドキュメントが見つかりませんでした。

bgrant0607 2017年05月30日

@ pweil- 1.8のアップデートはありますか？この機能はまだリリースに向けて順調に進んでいますか？

idvoretskyi 2017年09月05日

@idvoretskyiこれは1.8の優先事項ではありませんでした。 @ php-coder PM計画のために、これにカードを追加できますか？これをクラックに陥らせるのをやめ、ベータ版とGAに移行する必要があります。

pweil- 2017年09月11日

@ pweil-この機能が1.8で計画されていない場合は、マイルストーンを「次のマイルストーン」または「1.9」で更新してください

idvoretskyi 2017年09月12日

これがベータ版になるのを見たいです。そのための優先順位（または要件）には、次のものが含まれます。

アノテーション（Pod＆PodSecurityPolicy）は、コンテナーSecurityContextフィールドに移動する必要があります（https://github.com/kubernetes/community/blob/master/contributors/devel/api_changes.md#alpha-field-を参照）既存のAPIバージョン）
OCI仕様のseccomp形式を決定し、Kubernetesのデフォルトプロファイルを定義します（Dockerを再利用できますか？） https://github.com/kubernetes/kubernetes/issues/39128
NS。 KubernetesプロファイルがCRIを介してコンテナランタイムにどのように配信されるかを理解します（/ cc @yujuhong @ Random-Liu）
NS。ランタイムがdockerの場合、 docker/defaultは引き続き許可されます（下位互換性のため）
Kubernetesのデフォルトプロファイルを新しいデフォルトにする必要があります。下位互換性のために、これはオプションの動作である必要があります（つまり、フラグ制御）。 https://github.com/kubernetes/kubernetes/issues/39845

1.9（または1.10）マイルストーンでこの作業を推進することに興味がある人はいますか？ @jessfraz @ kubernetes / sig-auth-feature-requestsおよび@kubernetes / sig-node-feature-requests私はあなたを見ています：wink：

機能のフリーズは7月31日であり、それ以降、機能の問題が不完全な場合は、マイルストーンに例外リクエストを受け入れる必要があり

さらに、次の関連する期限に注意してください。

ドキュメントの締め切り（オープンプレースホルダーPR）：8/21
テストケースのフリーズ：8/28

機能のすべてのPRに、関連するリリースノートも含まれていることを確認してください。

ハッピーシッピング！

/ cc @justaugustus @ kacole2 @robertsandoval @ rajendar38

justaugustus 2018年07月18日

1.12の変更は予定されていません

tallclair 2018年07月25日

更新してくれてありがとう、@ tallclair！

justaugustus 2018年07月26日

1.9（または1.10）マイルストーンでこの作業を推進することに興味がある人はいますか？ @jessfraz @ kubernetes / sig-auth-feature-requestsおよび@kubernetes / sig-node-feature-requests私はあなたを見ていますウィンク

@tallclairそれでも望ましい場合は、今すぐこれを拾うことができます

stlaz 2018年08月22日

@stlaz ：通知をトリガーするために言及を繰り返します：
@ kubernetes / sig-auth-feature-requests、@ kubernetes / sig-node-feature-requests

対応して、この：

1.9（または1.10）マイルストーンでこの作業を推進することに興味がある人はいますか？ @jessfraz @ kubernetes / sig-auth-feature-requestsおよび@kubernetes / sig-node-feature-requests私はあなたを見ていますウィンク
@tallclairそれでも望ましい場合は、今すぐこれを拾うことができます

PRコメントを使用して私とやり取りするための手順は、こちらから入手できkubernetes / test-infraリポジトリに対して問題を

k8s-ci-robot 2018年08月22日

@stlaz 、この機能はまだ必要です。＃39845の最初のステップとして、アドオンにseccompプロファイルを追加することに時間を費やしました。しかし、この機能をプッシュするのに十分な時間がありません。あなたがこれに取り組むのが好きならそれは素晴らしいでしょう。どんな助けでも大歓迎です！ :)

wangzhen127 2018年08月22日

@ wangzhen127ありがとう、私はこの機能に関連して行われたことと開かれた問題をhttps://github.com/kubernetes/features/issues/135#issuecomment-331592961はまだ保持されており、今実行する必要のある作業を正確に要約しているようです。

また、これにFeatureGateを追加しようとしていることに気づきましたが、PRを閉じました。それはなぜですか？

PS：応答が遅れて申し訳ありませんが、私は少し不在でした。

stlaz 2018年09月11日

コメント＃135（コメント）はまだ保持されており、今実行する必要のある作業を正確に要約しているように思われます。

そうです。私が追加したいもう一つのことは、「苦情」モードを持つことです。そのため、ユーザーは、強制終了するのではなく、禁止されているシステムコールを使用するという警告を（ログで）取得することを選択できます。ロギングseccompアクションは、Linuxカーネル4.14以降（ seccomp doc ）で使用できます。古いカーネルバージョンがまだ使用されている可能性があります。したがって、それを処理する必要があります。これもOCI仕様に追加する必要があります。

また、これにFeatureGateを追加しようとしていることに気づきましたが、PRを閉じました。それはなぜですか？

この機能ゲートの目的は、seccompのデフォルトプロファイルを非制限から「ランタイム/デフォルト」に変更することでした。下位互換性について多くの懸念があったので、そうなる可能性は低いようでした。現在、セキュリティのデフォルトが壊れているため、一般的にセキュリティのデフォルトを変更する計画はありません。私が現在考えている最善のアプローチは、seccompを安定させることですが、それでもオプトアウトではなくオプトイン機能である必要があります。

wangzhen127 2018年09月11日

ロギングseccompアクションは、Linuxカーネル4.14以降（ seccomp doc ）で使用できます。

2番目のステップの一部としてKubernetes固有のデフォルトのseccomp形式を定義するので、代わりにログを記録する形式を使用することもできます。それには十分な価値がありますか？後者が失敗しすぎたときに、人々が「制限なし」から「kube / default」に移行するために使用できますか？彼らはそれがスイッチからスイッチバックに切り替わるのを気にかけますか？
4.13- Linuxカーネル（Debian-8,9; RHEL-6,7; Ubuntu LTS-14.04,16.04）を使用するLTSディストリビューションがあるので、カーネルの互換性は間違いなく覚えておくべきものです。

下位互換性について多くの懸念があったので、そうなる可能性は低いようでした。

コンテナランタイムは、seccompを初めて有効にするときに、過去にもこの変更を行う必要がありました。現在、少なくともdockerは、誰かを壊した可能性のある「制限なし」よりも許可されていないデフォルトの動作で出荷されます。基盤となるコンポーネントの動作（この動作をオフにする選択肢も提供します）に従うだけで、何も悪いことをしているとは思いません。

stlaz 2018年09月12日

それには十分な価値がありますか？

これは議論することができます。私の当初の考えは、デフォルトを制限なしからロギングに変更することでした。したがって、下位互換性の問題はありません。そして、なんらかの方法でデータを収集し、X％のケースで何もログに記録されていないことを示すことができれば、デフォルトのプロファイルで問題が発生することはありません。次に、ログをkillに変更することを提案できます。データ部分の収集はトリッキーで、多くの作業になる可能性があります。私たちが実際にそのルートに行かなくても、ロギングプロファイルを持つことは、seccompを試してみたいが、まだ自信がない場合に役立つと思います。

コンテナランタイムは、seccompを初めて有効にするときに、過去にもこの変更を行う必要がありました。現在、少なくともdockerは、誰かを壊した可能性のある「制限なし」よりも許可されていないデフォルトの動作で出荷されます。基盤となるコンポーネントの動作（この動作をオフにする選択肢も提供します）に従うだけで、何も悪いことをしているとは思いません。

dockerがデフォルト値を変更すると、kubernetesはそのような値を明示的にunconfinedにリセットします。私は以前にオフラインでsig-architectureの人々に連絡を取りましたが、彼らは下位互換性の問題について非常に心配しています。

wangzhen127 2018年09月12日

そして、なんらかの方法でデータを収集し、X％のケースで何もログに記録されていないことを示すことができれば、デフォルトのプロファイルで問題が発生することはありません。

私はこの考えが好きです。難しいのはもちろんデータを取得することです。どうやってデータを取得するのかわかりません。また、最初にこの変更をOCI仕様に提案してから、少なくとも1つのコンテナーランタイムに実装する必要がありますね。ライフサイクルのベータ部分でそれが発生しても問題ありませんか？

dockerがデフォルト値を変更すると、kubernetesはそのような値を明示的にunconfinedにリセットします。私は以前にオフラインでsig-architectureの人々に連絡を取りましたが、彼らは下位互換性の問題について非常に心配しています。

分かりました。おそらく、デフォルトのプロファイルとして「制限されていない」プロファイルを使用することもできます（後でkube/loggingようなものに置き換える可能性があります）。その場合、これは拒否ルールの方法でPSPによって制御される可能性があるようです。ここでは、すべてがデフォルトで許可されているという前提から始めて、特権をさらに削減するだけです。これをフラグで制御することは、PSPがオフになっている場合に役立つ可能性があります。そのため、PSPも使用する必要がありますが、これら2つのメカニズムを同時に使用するのは少し面倒です。

当初考えていた方向とは少し違うと思います。https：//github.com/kubernetes/kubernetes/issues/39845で行われた作業に反しruntime/default 、 kube/default 、 kube/loggingと、プロファイルをunconfinedに設定するオプションが表示されています。残りはもちろん、現在の実装によってすでに提供されているlocalhost/.*プロファイルを持つ機能です。

stlaz 2018年09月13日

ライフサイクルのベータ部分でそれが発生しても問題ありませんか？

私にはいいですね。 OCI仕様の提案を早期に開始することは役立つと思いますが。

今のところデフォルトは私には良いと思うので、「制限なし」で行ってください。 kubernetes / kubernetes＃39845の場合、アドオンにアノテーションを追加しました。そして、私たちはこれ以上進むことができないと思います。

これまでのところ、runtime / default、kube / default、kube / loggingと、プロファイルをunconfinedに設定するオプションが表示されています。残りはもちろん、現在の実装によってすでに提供されているlocalhost /.*プロファイルを持つ機能です。

私のために働きます。 kube/default場合、 docker/defaultから始めることができます。

wangzhen127 2018年09月13日

ロギングseccompアクションは、Linuxカーネル4.14以降（seccomp doc）で使用できます。

私の理解では、これはPIDを使用してアクションをログに記録しますが、必ずしもコンテナー関連の情報である必要はありません。したがって、auditdまたはホスト上の他のデーモンのいずれかが、ログが本当に役立つようにルックアップ/マッピングを実行する必要があります...

jlk 2018年09月13日

そして、なんらかの方法でデータを収集し、X％のケースで何もログに記録されていないことを示すことができれば、デフォルトのプロファイルで問題が発生することはありません。次に、ログをkillに変更することを提案できます。データ部分の収集はトリッキーで、多くの作業になる可能性があります。

Dockerのdockerデフォルトプロファイルを起動するときに、

tallclair 2018年09月20日

👍7 ❤1

@tallclairあなたが正しいです、私はすべての問題のコメントでちょっと迷子になりました。参考までに、Dockerfilesがチェックされたことを示すコメントは次のとおりです： https ：//github.com/kubernetes/community/pull/660#issuecomment-303860107。結局のところ、「殺害」のデフォルトを設定しても安全だと思います。

stlaz 2018年09月24日

やあ
この拡張機能は以前に追跡されているため、チェックインして、Kubernetes1.13のステージを卒業する計画があるかどうかを確認したいと思います。このリリースは、より「安定」することを目的としており、積極的なタイムラインがあります。次の期限に間に合うと確信できる場合にのみ、この拡張機能を含めてください。

ドキュメント（オープンプレースホルダーPR）：11/8
コードスラッシュ：11/9
コードフリーズの開始：11/15
ドキュメントの完成とレビュー：11/27

1.13拡張トラッキングシートに含める必要がある場合は、今後の追跡とping @ kacole2のために、元の投稿のマイルストーンを更新してください。

ありがとう！

kacole2 2018年10月08日

❤1

この問題を今すぐ解決できる場合は、 /close 。

SIG-テスト、kubernetes /テスト・インフラおよび/またはへのフィードバックを送信fejta 。
/ lifecycle stale

fejta-bot 2019年01月06日

kubernetes/enhancements開かれた拡張機能の問題は、フリーズとしてマークされるべきではありません。
拡張機能の所有者は、リリースサイクル全体で状態を一貫して更新することにより、拡張機能を最新の状態に保つことができます。

/ remove-ライフサイクルが凍結されました

fejta-bot 2019年01月16日

この問題を今すぐ解決できる場合は、 /close 。

SIG-テスト、kubernetes /テスト・インフラおよび/またはへのフィードバックを送信fejta 。
/ライフサイクル腐敗

fejta-bot 2019年02月15日

/ remove-lifecycle rotten

stlaz 2019年03月15日

こんにちは@ stlaz @ pweil-、私は1.15のエンハンスメントリードです。この機能は1.15でアルファ/ベータ/安定ステージを卒業する予定ですか？適切に追跡してスプレッドシートに追加できるように、お知らせください。これには、KEPを1.15に含める必要もあります。

コーディングを開始したら、適切に追跡できるように、この号に関連するすべてのk / kPRをリストしてください。

kacole2 2019年04月12日

1.15の変更は予定されていません

tallclair 2019年04月12日

こんにちは@ tallclair @ pweil- @stlaz 、私は1.16エンハンスメントリード/シャドウです。この機能は1.16でアルファ/ベータ/安定段階を卒業する予定ですか？ 1.16トラッキングスプレッドシートに追加できるようにお知らせください。卒業していない場合は、マイルストーンから削除し、追跡ラベルを変更します。

コーディングが開始されたら、またはすでに開始されている場合は、適切に追跡できるように、この号に関連するすべてのk / kPRをリストしてください。

注意として、すべての拡張には、各アルファ/ベータ/安定ステージの要件を説明する卒業基準を備えた実装可能な状態のKEPが必要です。

マイルストーンの日付は、Enhancement Freeze7 / 30およびCodeFreeze8 / 29です。

ありがとうございました。

kacole2 2019年07月09日

私はそれをGAに持ち込む計画の始まりを持っていますが、1.16でそれを実現するのは難しいかもしれません。ただし、拡張機能のフリーズによって提案を出すようにします。

tallclair 2019年07月09日

こんにちは@ tallclair @ pweil-、1.17エンハンスメントシャドウはこちら！ 🙂

*この拡張機能が1.17でアルファ/ベータ/安定に段階的に移行するですか？
この拡張機能を1.17トラッキングシートに追加できるように、お知らせください。

ありがとうございました！

🔔フレンドリーなリマインダー

現在のリリーススケジュールは
- 9月23日月曜日-リリースサイクルが始まります
- 10月15日火曜日、EODPST-拡張機能のフリーズ
- 11月14日木曜日EODPST-コードフリーズ
- 11月19日火曜日-ドキュメントを完成させて確認する必要があります
- 12月9日月曜日-Kubernetes1.17.0がリリースされました

Kubernetes拡張プロポーザル（KEP）は、拡張フリーズがリリースに受け入れられる
- PRはに統合されます
- implementable状態の場合
- テスト計画と卒業基準を含める
関連するすべてのk / kPRをこの号に記載する必要があります

annajung 2019年10月02日

はい、これをv1.17で安定するように卒業する予定です-KEPはこちら： https ：

tallclair 2019年10月03日

🎉1 👍1

ねえ@tallclair 、追跡する追跡シートにこの拡張機能を追加します👍

わかりやすいリマインダーについては上記のメッセージを参照してください。KEPは暫定的な状態であることに注意してください。 KEPは、1.17リリースに追加するために実装可能な状態である必要があります。

/マイルストーンv1.17
/ステージ安定

annajung 2019年10月03日

ねえ@tallclairtestgridのテストへのリンクを投稿して、この拡張機能のために追加されたテストを追跡していただけませんか？

ありがとうございました！

annajung 2019年10月08日

しましょう。すでにたくさんのseccompテストがありますが、ダッシュボードのタブで見つけることができません（特定のテストについてすべてのテストグリッドを検索する方法はありますか？）
https://github.com/kubernetes/kubernetes/blob/0956acbed17fb71e76e3fbde89f2da9f8ec8b603/test/e2e/node/security_context.go#L147 -L177

tallclair 2019年10月08日

@tallclairすべてのtestgridを検索する良い方法はありません= /

私の最善の推測（少なくともあなたが参照した4つについて）は、それらが実際には含まれていないということです。 😬

それらはnode-kubelet-featuresダッシュボードの一部である必要があるように見えますが、 ci-kubernetes-node-kubelet-featuresのジョブ構成にはtest_argsのためにこれがあります：

--test_args=--nodes=8 --focus="\[NodeFeature:.+\]" --skip="\[Flaky\]|\[Serial\]"

イチョウのテスト自体は[Feature:Seccomp]タグ付けされており、フォーカスフラグは一致しません。

mrbobbytables 2019年10月08日

👍1

GAに移行したら、機能タグを削除する必要があると思います。 Linuxではseccompが標準だと思うので、 [LinuxOnly]タグで十分です。

テストが実行されないという一般的な問題については、 https：//github.com/kubernetes/test-infra/issues/14647を提出しました

tallclair 2019年10月08日

👍2

@tallclairさん、Enhancements Freeze （10月15日火曜日、EOD PST）からわずか5日です。 1.17リリースでこれを卒業できるようにするには、KEPをマージして、実装可能な状態にする必要があることを思い出してください。 KEPはまだ開いており、暫定的な状態にあるようです。

annajung 2019年10月10日

@tallclairさん、残念ながら1.17拡張フリーズの期限が過ぎており、KEPはまだ開いているようです。この拡張機能を1.17マイルストーンから削除します。

1.17でこれを取得する必要がある場合は、拡張例外を提出できることに注意してください。

/マイルストーンクリア

annajung 2019年10月16日

ええ、カットしませんでした。それを取り入れることを望んでいる
/マイルストーンv1.18

tallclair 2019年10月16日

いいですね！拡張追跡シートで、これをv1.18に延期されたものとしてマークします。

annajung 2019年10月17日

ねえ👋、これを前進させるために私たちにできることはありますか？こことAppArmorの問題に貢献できれば幸いです。

saschagrunert 2020年01月07日

ねえ@tallclair

1.18機能強化チームのチェックイン！ 1.18で安定に卒業する予定ですか？ KEPはまだ開いているようです。

リリーススケジュールは次のとおりです。

フリーズの強化： 1月28日
コードフリーズ： 3月5日
ドキュメント対応： 3月16日
v1.18リリース： 3月24日

念のため、KEPをマージして、ステータスをimplementable設定する必要があります。

ありがとう！

jeremyrickard 2020年01月07日

@saschagrunertオファーをありがとう！ @liggittで行ったAPIレビューをフォローアップするには、KEPで別のパスを取得する必要があります。 KEPが承認されたら、実装にご協力いただければ幸いです。

現在、KEPで最大の未解決の質問は、ローカルホストプロファイルタイプを処理する方法だと思います。この機能を廃止したいので（理想的にはhttps://github.com/kubernetes/enhancements/pull/1269、/ cc @pjbgfのようなものを

tallclair 2020年01月09日

👍2

ねえ@tallclair 、これが1.18になるかどうかについての更新はありますか？現在、マイルストーンでマークされていますが、これを追跡する必要があるかどうかは確認されていません。

ありがとう！

jeremyrickard 2020年01月22日

v1.18はこれについてはありそうもないようです。私たちはぶつかることができると思います
/マイルストーンv1.19

tallclair 2020年01月22日

素晴らしい、更新@tallclairをありがとう:)

jeremyrickard 2020年01月23日

こんにちは@ tallclair -1.19拡張機能ここをリードします。この拡張機能をこのリリースでstableに卒業する予定はありますか？

palnabarun 2020年04月17日

v1.19で卒業する予定はありません。私はオープンKEPを持っていますが、今四半期はそれに取り組んでいません。 @pjbgfは

tallclair 2020年04月17日

👍2

@ tallclair-更新していただきありがとうございます。：slightly_smiling_face：

palnabarun 2020年04月29日

/マイルストーンv1.20

palnabarun 2020年05月02日

昨日のsig-node会議で合意されたように、これについては計画にわずかな変更がありました。これは現在、次の目的で計画されています。

/マイルストーンv1.19

pjbgf 2020年05月06日

🎉1 👍1

@pjbgf ：マイルストーンを設定するには、

対応して、この：

昨日のsig-node会議で合意されたように、これについては計画にわずかな変更がありました。これは現在、次の目的で計画されています。
/マイルストーンv1.19

PRコメントを使用して私とやり取りするための手順は、こちらから入手できkubernetes / test-infraリポジトリに対して問題を

k8s-ci-robot 2020年05月06日

@palnabarunこの問題をマイルストーンv1.19に設定してもよろしいですか？

/ assign pjbgf

pjbgf 2020年05月06日

/マイルストーンv1.19

tallclair 2020年05月06日

👍2

更新してくれてありがとう@ pjbgf @ tallclair 。あなたの計画に従って追跡シートを更新しました。

どの卒業ステージを目指しているのか、KEPへのリンクを教えてください。

ありがとうございました！すべての努力に感謝します。：slightly_smiling_face：

現在のリリーススケジュールは次のとおりです。

4月13日月曜日：第1週-リリースサイクルが始まります
5月19日火曜日：第6週-拡張機能のフリーズ
6月25日木曜日：第11週-コードフリーズ
7月9日木曜日：第14週-ドキュメントを完成させて確認する必要があります
8月4日火曜日：第17週-Kubernetesv1.19.0がリリースされました

palnabarun 2020年05月09日

GAをターゲットにする

KEP： https ：
KEPにはまだ未解決のセクションがあり、フォローアップPRがあります： https ：

tallclair 2020年05月09日

こんにちは@tallclair 、更新していただきありがとうございます。：+1：

それに応じてトラッキングシートを更新しました。

palnabarun 2020年05月12日

PS：KEPと最新のKEPアップデートPRへのリンクを使用して問題の説明を更新しました。

palnabarun 2020年05月12日

更新してくれてありがとう@palnabarun 。：+1：

pjbgf 2020年05月12日

こんにちは@ tallclair👋1.19ドキュメントシャドウはこちら！ 1.19で計画されているこの拡張作業には、ドキュメントの新規または変更が必要ですか？

ドキュメントの新規/変更が必要な場合は、6月12日金曜日までにk / website（ブランチdev-1.19 ）に対するプレースホルダーPRが必要になることを覚えておいてください。

annajung 2020年05月21日

@annajungそれは頭を上げるためです。はい、seccompドキュメントにいくつかの変更があります。

これをピックアップしている@hasheddanを追加します（https://github.com/kubernetes/kubernetes/issues/58211）。

pjbgf 2020年05月21日

👍2

素晴らしい、アップデートしてくれてありがとう！それに応じてトラッキングシートを変更します。
k / websiteに対するプレースホルダーPRが行われたら、お知らせください。ありがとうございました！

annajung 2020年05月21日

👍1

@ pjbgf-ここにあるすべての実装PRにリンクしていただけますか-k / kまたはそれ以外ですか？：slightly_smiling_face：

現在のリリーススケジュールは次のとおりです。

〜4月13日（月）：第1週-リリースサイクルが始まります〜
〜5月19日火曜日：第6週-拡張機能のフリーズ〜
6月25日木曜日：第11週-コードフリーズ
7月9日木曜日：第14週-ドキュメントを完成させて確認する必要があります
8月4日火曜日：第17週-Kubernetesv1.19.0がリリースされました

palnabarun 2020年05月25日

@palnabarunこれが現在のものです：
https://github.com/kubernetes/kubernetes/pull/91381
https://github.com/kubernetes/kubernetes/pull/91408
https://github.com/kubernetes/kubernetes/pull/91182
https://github.com/kubernetes/kubernetes/pull/91442

また、それらすべてを含む包括的な問題を作成しました。

pjbgf 2020年05月25日

こんにちは@ pjbgf @ hasheddan k / websiteに対するプレースホルダーPRの期限は、6月12日金曜日です。PRが完了したらお知らせください。ありがとうございます。

annajung 2020年05月27日

@annajungリマインダーをありがとう！まもなくオープンします：+1：

hasheddan 2020年05月27日

👍2

こんにちは@ pjbgf-アンブレラの問題を作成していただきありがとうございます。：+1：

私たちは同じことを追跡しています。：slightly_smiling_face：

palnabarun 2020年06月01日

こんにちは@ pjbgf-拡張の進行状況についてチェックインしたかっただけです。

リリースタイムラインは最近改訂されました。詳細については、こちらをご覧ください。

ご不明な点がございましたらお知らせください。：slightly_smiling_face：

改訂されたリリーススケジュールは次のとおりです。

7月9日木曜日：第13週-コードフリーズ
7月16日木曜日：第14週-ドキュメントを完成させて確認する必要があります
8月25日火曜日：第20週-Kubernetesv1.19.0がリリースされました

palnabarun 2020年06月18日

@palnabarunを更新していただきありがとうございます。コードはほぼすべて完了していますが、現在、フォローアップレビューを待っています。全体的に、私たちはまだ見栄えが良いです。：+1：

pjbgf 2020年06月18日

こんにちは@ pjbgf @ hasheddan 、次の締め切りが迫っていることを友好的に思い出させてくれます。
プレースホルダードキュメントPRにデータを入力し、7月6日月曜日までに確認できるようにしてください。

annajung 2020年06月22日

👍1

こんにちは@ pjbgf @ hasheddan ：wave：、実装関連の変更についてはhttps://github.com/kubernetes/kubernetes/issues/91286にまだ3つの保留中のアクションアイテムがあり、ドキュメント用に1つの保留中のアクションアイテムがあることがわかります。彼らは7月9日木曜日のコードフリーズを過ぎてしまうと思いますか？

ありがとうございました。：slightly_smiling_face：

コードフリーズは7月9日木曜日にEODPSTで始まります

palnabarun 2020年07月06日

@palnabarun docs PRはほとんど準備ができており、seccompの特定のガイドを追加するだけです。すでに現在の変更に関する@saschagrunertからLGTMを持っています。ここで私たちを軌道に乗せてくれてありがとう:)

hasheddan 2020年07月06日

👍2

こんにちは@hasheddan 、上記の更新に感謝します。 EODによるレビュー（WIPの削除/リベース/すべての準備ができている）の準備をするための簡単なリマインダーです。ありがとうございました！

annajung 2020年07月06日

👍1

@annajungがやる！ありがとう！

hasheddan 2020年07月06日

@ hasheddan-更新していただきありがとうございます。：笑顔：

palnabarun 2020年07月06日

@ pjbgf - https：//github.com/kubernetes/kubernetes/issues/91286で、 2つのコアアクションアイテムがまだマージされておらず、マージプールにも含まれていないことがわかりました。彼らはコードフリーズの前に入ると思いますか？

ありがとうございました。：slightly_smiling_face：

palnabarun 2020年07月09日

@palnabarunコードがフリーズする前に、すべてがすでにlgtmになっているので、それを実行しようとしています。いくつかの不安定なテストatmでいくつかの問題が発生しています。 😅

頭を上げてくれてありがとう。

pjbgf 2020年07月09日

👍2

明確にするために、私たちがマージするのを待っている2つのprは次のとおりです。
https://github.com/kubernetes/kubernetes/pull/91408およびhttps://github.com/kubernetes/kubernetes/pull/92856

後者（https://github.com/kubernetes/kubernetes/pull/92856）は検証チェックに失敗しているようです。 https://github.com/kubernetes/kubernetes/pull/92856#issuecomment -655950700によると、マージする前にrebase / repush / rereviewが必要になります。

kikisdeliveryservice 2020年07月10日

@kikisdeliveryserviceご説明ありがとうございます。 https://github.com/kubernetes/kubernetes/pull/91408での不安定なテストが失敗しなくなるのを待ってい

pjbgf 2020年07月10日

こんにちは@pjbgf ：wave：、私たちは今コードフリーズに入っています。

以来、 https：//github.com/kubernetes/kubernetes/pull/91408はマージプールにあり、 https：//github.com/kubernetes/kubernetes/pull/92856ではhttps://github.com/を介してリベースする必要がありhttps://github.com/kubernetes/kubernetes/pull/92856#issuecomment -655950700によると、ここでの最善のアクションは、2番目の完了に追加の時間を取得するための例外リクエストを提出することです。マージプールがクリアされた後のPR。

当面、マイルストーンから拡張機能を削除します。

ありがとうございました！

一番、
Kubernetesv1.19リリース拡張チーム

palnabarun 2020年07月10日

/マイルストーンクリア

palnabarun 2020年07月10日

kubernetes / kubernetes＃91408はマージプールにあり、kubernetes / kubernetes＃92856はkubernetes / kubernetes＃92856（コメント）に従ってkubernetes / kubernetes＃91408をリベースする必要があるため、ここでの最善のアクションは例外を提出することだと考えていますマージプールがクリアされた後、2番目のPRを完了するために追加の時間を取得するように要求します。

マージキューで承認されたPRに基づいてリベースする場合、例外要求は必要ありません。 PRはコードが完了し、締め切りの1日前に承認されました。

liggitt 2020年07月10日

こんにちは@liggitt ：wave ：、ご入力ありがとうございます。：+1：

拡張機能をサイクルに戻します。私たちのすべての懸念はリベースに関するものでした。それはソートされているので、これは良いことです。：slightly_smiling_face：

palnabarun 2020年07月10日

👍3 🎉2

/マイルストーンv1.19

palnabarun 2020年07月10日

@pjbgf @ saschagrunert @ hasheddan-すべての貢献に感謝します。：100：

palnabarun 2020年07月10日

🚀1

拡張機能の詳細な追跡をしてくれた@palnabarunに感謝します。感謝します！ 🙏

saschagrunert 2020年07月11日

❤2

@saschagrunert最終的なPRkubernetes / kubernetes＃92856がついにマージされます。おめでとうございます！これを反映するようにトラッキングシートを更新します。

kikisdeliveryservice 2020年07月12日

👍2

@tallclair @pjbgf seccompはGAなので、この問題を今すぐ解決できると思いますか？

saschagrunert 2020年08月12日

🎉1

@saschagrunert通常、リリースが行われるのを待ってから、対応するKEPをimplementedとしてマークしてから、拡張機能の問題を閉じます。

https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190717-seccomp-ga.mdをimplementedとしてマークするために、自由に変更を加えてください。：slightly_smiling_face：

palnabarun 2020年08月12日

🎉1 👍1

@saschagrunert通常、リリースが行われるのを待ってから、対応するKEPをimplementedとしてマークしてから、拡張機能の問題を閉じます。
https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190717-seccomp-ga.mdをimplementedとしてマークするために、自由に変更を加えてください。

説明をありがとう、 https：//github.com/kubernetes/enhancements/pull/1932でPRを開きました

saschagrunert 2020年08月12日

👍1

KEPが更新されて実装されました（PRがついに統合されました！）

この問題を@saschagrunertでお気軽に閉じてください

みなさん、ありがとうございました!!

/マイルストーンクリア

kikisdeliveryservice 2020年09月24日

🎉1

/選ぶ
これで完了です。

saschagrunert 2020年09月24日

🎉6

@saschagrunert以前にこれについて話し合ったかどうかは思い出せませんが、最終的にアノテーションをクリーンアップする（つまり、サポートを削除する）計画はありますか？そうする主な動機は、サードパーティのツール（ゲートキーパー、krailなど）が注釈とフィールドの両方をチェックすることを知る必要がないようにすることです。

tallclair 2020年09月28日

@saschagrunert以前にこれについて話し合ったかどうかは思い出せませんが、最終的にアノテーションをクリーンアップする（つまり、サポートを削除する）計画はありますか？そうする主な動機は、サードパーティのツール（ゲートキーパー、krailなど）が注釈とフィールドの両方をチェックすることを知る必要がないようにすることです。

はい、これはv1.23で計画されています。これには、必要なユーティリティ機能が存在した後に実行できる警告メカニズム（まだ実行されていません）が組み込まれています（https://github.com/kubernetes/kubernetes/issues/94626を参照）。

KEPから：

注釈の使用法の認識を高めるために（古い自動化の場合）、警告メカニズムを使用して、v1.23でサポートが廃止されることを強調します。検討されているメカニズムは、KEP＃1693で説明されているように、監査アノテーション、オブジェクトのアノテーション、イベント、または警告です。

…

マスターとノード間のバージョンスキューの最大2つのマイナーリリースをサポートしているため、最初の実装に合格した少なくとも2つのバージョンについて、アノテーションを引き続きサポートし、埋め戻す必要があります。ただし、破損を減らすために、サポートをさらに拡張することを決定できます。この機能がv1.19で実装されている場合、古い動作を削除するためのターゲットとしてv1.23を提案します。

これらのビットも実装されるまで、この問題を再開しますか？

saschagrunert 2020年09月29日

ええ、機能が完全に終了するまでこれを開いたままにしておきましょう。あなたが説明した仕事に対して提出されたak / kの問題はありますか？

tallclair 2020年09月29日

ええ、機能が完全に終了するまでこれを開いたままにしておきましょう。あなたが説明した仕事に対して提出されたak / kの問題はありますか？

これで1つになりました：https：//github.com/kubernetes/kubernetes/issues/95171 :)

saschagrunert 2020年09月30日

このページは役に立ちましたか？

0 / 5 - 0 評価

Enhancements: Seccomp

説明

プログレストラッカー

最も参考になるコメント

全てのコメント120件

機能のフリーズは7月31日であり、それ以降、機能の問題が不完全な場合は、マイルストーンに例外リクエストを受け入れる必要があり

さらに、次の関連する期限に注意してください。

機能のすべてのPRに、関連するリリースノートも含まれていることを確認してください。

関連する問題