kritis-validation-hook は、デプロイ前にコンテナイメージの署名を検証し、信頼された認証局によって署名されたイメージのみが ACK クラスターで実行されるようにします。これにより、予期しないコードや悪意のあるコードのデプロイリスクを低減します。
概要
kritis-validation-hook は Container Registry (ACR) と統合され、Key Management Service (KMS) によって署名されたイメージを検証します。ワークロードが作成または更新される際、このコンポーネントはリクエストをインターセプトし、コンテナイメージに有効な署名が付与されているかを確認します。検証に失敗したリクエストはブロックされ、FailedKritisAdmission を理由とするイベントが kube-system 名前空間に生成されます。
このコンポーネントはドライランモードをサポートしており、デフォルトでは無効になっています。ドライランモードを有効化すると、検証に失敗したリクエストも許可され、代わりに DryRunKritisAdmission を理由とするイベントが生成されます。
対応する Kubernetes リソース:Deployment、DaemonSet、ReplicaSet、StatefulSet、ジョブ、CronJob、レプリケーションコントローラー、および一時コンテナ。
セットアップ手順については、「kritis-validation-hook コンポーネントを使用してコンテナイメージの署名を自動的に検証する」をご参照ください。コンポーネントの詳細については、「kritis-validation-hook コンポーネントの概要」をご参照ください。
リリースノート
異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。
2025 年 9 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>0.13.0</p></td> <td><p>registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:0.13.0</p></td> <td><p>2025-09-11</p></td> <td> <ul> <li><p>コンポーネントのバージョン命名規則を変更しました。</p></li> <li><p>Golang を 1.24.6 にアップグレードし、コンポーネントの安定性を向上させました。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2025 年 5 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.12.0.0-g1535b25b-aliyun</p></td> <td><p>registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:v0.12.0.0-g1535b25b-aliyun</p></td> <td><p>2025-05-07</p></td> <td> <ul> <li><p>コンポーネントが、<b>セキュリティ強化モード</b>で <b>インスタンスメタデータ</b>を取得するようになりました。詳細については、「インスタンスメタデータ」をご参照ください。</p></li> <li><p>Golang を 1.24.3 にアップグレードし、コンポーネントの安定性を向上させました。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2024 年 8 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.11.0.0-gf0617391-aliyun</p></td> <td><p>registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:v0.11.0.0-gf0617391-aliyun</p></td> <td><p>2024-08-29</p></td> <td> <ul> <li><p>コンポーネントのインストールおよびアップグレード時に、RAM Roles for Service Accounts (RRSA) 認証を構成できるようになりました。</p></li> <li><p>StatefulSet、ジョブ、CronJob、およびレプリケーションコントローラーのリソース作成・更新時に、イメージ署名の検証を実行するようになりました。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2024 年 7 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.10.0.0-gde6f9437-aliyun</p></td> <td><p>registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:v0.10.0.0-gde6f9437-aliyun</p></td> <td><p>2024-07-04</p></td> <td> <ul> <li><p>一時コンテナのイメージ署名を検証するようになりました。</p></li> <li><p>Deployment、DaemonSet、および ReplicaSet のリソース作成・更新時に、イメージ署名の検証を実行するようになりました。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2023 年 4 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.9.0.0-gb7aa45c7-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.9.0.0-gb7aa45c7-aliyun</p></td> <td><p>2023-04-17</p></td> <td><p>Kubernetes 1.26 をサポートしました。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2022 年 8 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.8.0.4-g61d3531e-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.8.0.4-g61d3531e-aliyun</p></td> <td><p>2022-08-05</p></td> <td> <ul> <li><p>大規模クラスターにおけるイメージ署名検証の速度を向上させました。</p></li> <li><p>Kubernetes 1.22 を実行する ACK Serverless クラスターをサポートしました。</p></li> <li><p>コンポーネントに対して RAM 権限を付与するために RRSA を使用する機能を追加しました。これは、ACK Serverless クラスターにおけるデフォルトの認証方式です。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2021 年 12 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.6.0.5-gce1cc2d-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.6.0.5-gce1cc2d-aliyun</p></td> <td><p>2021-12-17</p></td> <td><p>Kubernetes 1.22 をサポートしました。本バージョンより、Kubernetes 1.16 以降を実行するクラスターのみがサポート対象となります。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2021 年 11 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.5.0.6-g525daee-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.5.0.6-g525daee-aliyun</p></td> <td><p>2021-11-15</p></td> <td> <ul> <li><p>新しい ACR イメージ署名データ形式をサポートしました。</p></li> <li><p>ARM64 アーキテクチャをサポートしました。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2021 年 6 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.4.0.1-gb2862c4-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.4.0.1-gb2862c4-aliyun</p></td> <td><p>2021-06-10</p></td> <td><p>登録済みクラスターへの kritis-validation-hook のインストールをサポートしました。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2021 年 3 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.3.1.4-ga89b624-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.3.1.4-ga89b624-aliyun</p></td> <td><p>2021-03-24</p></td> <td><p>名前にスラッシュ (/) を含むリポジトリ内のイメージに対する署名検証をサポートしました。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2020 年 11 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.2.7.2-g5fa671a-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.7.2-g5fa671a-aliyun</p></td> <td><p>2020-11-24</p></td> <td><p>イメージ署名検証ホワイトリストを追加しました。ホワイトリストに登録されたイメージは署名検証をスキップします。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> <tr> <td><p>v0.2.6.4-g94b0940-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.6.4-g94b0940-aliyun</p></td> <td><p>2020-11-16</p></td> <td><p>ACK イメージバージョン不変性機能が有効化されたイメージの署名検証をサポートしました。詳細については、「イメージバージョン不変性の有効化」をご参照ください。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2020 年 8 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.2.5.26-g75d5297-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.5.26-g75d5297-aliyun</p></td> <td><p>2020-08-12</p></td> <td> <ul> <li><p>デフォルトで、署名検証に失敗した場合、FailedKritisAdmission を理由とするイベントが kube-system 名前空間に生成されます。</p></li> <li><p>ドライランモード(デフォルトでは無効)を追加しました。有効化すると、署名検証に失敗したリクエストも許可され、kube-system 名前空間に DryRunKritisAdmission を理由とするイベントが生成されます。</p></li> </ul></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2020 年 6 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.2.4.1-ge5c1265-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.4.1-ge5c1265-aliyun</p></td> <td><p>2020-06-22</p></td> <td><p>署名済み ACR イメージのクロスリージョン検証をサポートしました。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2020 年 4 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.2.3.1-00e70883-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.3.1-00e70883-aliyun</p></td> <td><p>2020-04-07</p></td> <td><p>パフォーマンスおよびログ出力内容を改善しました。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>
2020 年 3 月
<table> <thead> <tr> <td><p><b>バージョン</b></p></td> <td><p><b>イメージアドレス</b></p></td> <td><p><b>リリース日</b></p></td> <td><p><b>変更内容</b></p></td> <td><p><b>影響</b></p></td> </tr> </thead> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <colgroup></colgroup> <tbody> <tr> <td><p>v0.2.2.3-fe8a6319-aliyun</p></td> <td><p>registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.2.3-fe8a6319-aliyun</p></td> <td><p>2020-03-18</p></td> <td><p>Container Registry との初期統合を実施しました。KMS による署名済みイメージの検証を行い、信頼されたコンテナイメージのみを ACK クラスターにデプロイできるようにします。</p></td> <td><p>異常なコンポーネントのアップグレードにより、クラスター内のリソース変更が失敗する場合があります。コンポーネントのアップグレードは、トラフィックが少ない時間帯に実施してください。</p></td> </tr> </tbody> </table>