UDS Core v0.39.0 版本发布:安全增强与身份管理升级
项目地址: https://gitcode.com/gh_mirrors/ud/uds-core UDS Core 是一个专注于提供企业级安全解决方案的开源项目,其核心功能包括身份认证、访问控制、服务网格等基础设施组件。最新发布的 v0.39.0 版本带来了多项重要改进,特别是在安全性和身份管理方面有显著增强。
关键安全改进
本次版本最显著的变化是对 AuthService 的强化保护机制。现在,所有受 AuthService 保护的 Pod 都必须携带来自 Keycloak 的 JWT 令牌才能访问。这一改变使得安全策略更加严格,系统管理员可以通过额外的 Istio 授权策略来实现更细粒度的访问控制,但基础要求始终是有效的 Keycloak JWT。
另一个重大安全改进是引入了全新的授权策略生成机制,专门针对环境网格(ambient mesh)场景进行了优化。需要注意的是,这一变化可能会影响采用 PERMISSIVE mTLS 模式的工作负载,特别是那些来自特定命名空间或选择器的集群内非 TLS 入口流量。为了保持兼容性,管理员需要创建额外的授权策略来明确允许这些流量。
身份认证与管理增强
身份配置方面,v0.39.0 引入了多项重要改进:
-
新增了 WebAuthN 认证流程和多因素认证(MFA)控制选项,为用户提供了更强大、更灵活的身份验证方式。
-
改进了 Keycloak 客户端管理机制,现在使用客户端凭据(Client Credentials)来管理 Keycloak 客户端,这一变化显著提升了 Pepr 客户端注册的性能表现。
-
身份提供者(IDP)功能得到了增强,为企业集成提供了更多可能性。
对于现有安装的升级,需要注意 0.11.0 版本对 realm 配置的变更。虽然这些变更不是功能上的强制要求,但建议管理员按照升级流程实施新的客户端凭据流程以获得最佳性能。
监控与可观测性改进
在监控方面,本次版本新增了 Alertmanager 数据源到 Grafana 的集成,使得告警管理和可视化更加便捷。同时,文档中更新了关于如何抓取指标的指南,帮助管理员更好地配置监控系统。
其他重要更新
-
主题定制功能:现在可以更灵活地自定义系统界面主题。
-
依赖项升级:包括 Istio 升级至 v1.25.0、Keycloak 升级至 v26.1.4、Velero 升级至 v8.6.0 等重要组件更新。
-
文档增强:新增了关于层级选择的文档说明,以及 Velero CSI vSphere 备份的详细指南。
-
清理工作:移除了 Kiali 和 Tempo 的相关引用,简化了代码库。
升级注意事项
管理员在升级到 v0.39.0 版本时需要特别注意:
-
新增的授权策略机制可能会影响现有 PERMISSIVE mTLS 流量的访问,需要评估并可能添加额外的授权策略。
-
身份配置的变更虽然非强制,但建议实施以获得最佳性能和安全性。
-
新增的 delete credential Keycloak secret value 修复了相关安全问题,确保升级过程中正确应用。
UDS Core v0.39.0 通过这些改进,进一步强化了系统的安全性和管理能力,为企业级部署提供了更可靠的基础设施支持。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
