kritis-validation-hook - Container Service for Kubernetes - Alibaba Cloud ドキュメントセンター

kritis-validation-hook コンポーネントは、コンテナイメージの署名を検証するために使用される主要なコンポーネントです。このトピックでは、kritis-validation-hook コンポーネントの特徴、使用上の注意、およびリリースノートについて説明します。

はじめに

kritis-validation-hook コンポーネントは、コンテナイメージの署名を検証するために使用される主要なコンポーネントです。コンテナイメージをデプロイする前に、その署名を検証して、信頼できる作成者によって署名されたイメージのみがデプロイされるようにします。これにより、環境内で予期しないコードや悪意のあるコードが実行されるリスクが軽減されます。kritis-validation-hook コンポーネントの詳細については、「kritis-validation-hook コンポーネントの概要」をご参照ください。

使用上の注意

kritis-validation-hook コンポーネントの使用方法の詳細については、「kritis-validation-hook コンポーネントを使用してコンテナイメージの署名を自動的に検証する」をご参照ください。

リリースノート

2025 年 9 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
0.13.0	registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:0.13.0	2025-09-11	コンポーネントバージョンの命名規則が変更されました。 Golang のバージョンが 1.24.6 にアップグレードされ、コンポーネントの安定性が向上しました。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2025 年 5 月

バージョン番号	イメージアドレス	最終更新日	変更点	影響
v0.12.0.0-g1535b25b-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:v0.12.0.0-g1535b25b-aliyun	2025-05-07	このバージョンから、コンポーネントは [Security Hardening Mode] で [Instance Metadata] を取得します。[Security Hardening Mode] の詳細については、「インスタンスメタデータ」をご参照ください。 Golang のバージョンが 1.24.3 にアップグレードされ、コンポーネントの安定性が向上しました。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2024 年 8 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
v0.11.0.0-gf0617391-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:v0.11.0.0-gf0617391-aliyun	2024-08-29	コンポーネントのインストールおよびアップグレード時に、RAM Roles for Service Accounts (RRSA) 認証を構成するためのサポートが追加されました。 StatefulSet、Job、CronJob、および ReplicationController リソースを作成および更新するときに、イメージの署名を検証します。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2024 年 7 月

バージョン番号	イメージアドレス	変更時間	説明	影響
v0.10.0.0-gde6f9437-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/kritis-server:v0.10.0.0-gde6f9437-aliyun	2024-07-04	エフェメラルコンテナで使用されるイメージの署名を検証します。 Deployment、DaemonSet、および ReplicaSet リソースを作成および更新するときに、イメージの署名を検証します。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2023 年 4 月

バージョン番号	イメージアドレス	最終更新日	変更点	影響
v0.9.0.0-gb7aa45c7-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.9.0.0-gb7aa45c7-aliyun	2023-04-17	Kubernetes 1.26 をサポートします。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2022 年 8 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
v0.8.0.4-g61d3531e-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.8.0.4-g61d3531e-aliyun	2022-08-05	大規模クラスターでのイメージ署名検証の速度を最適化しました。 Kubernetes 1.22 を実行する Serverless Kubernetes クラスターをサポートします。 RRSA を使用してコンポーネントに RAM 権限を付与するためのサポートが追加されました。このメソッドは、Serverless Kubernetes クラスターでデフォルトで使用されます。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2021 年 12 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
v0.6.0.5-gce1cc2d-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.6.0.5-gce1cc2d-aliyun	2021-12-17	Kubernetes 1.22 をサポートします。このバージョン以降、Kubernetes 1.16 以降を実行するクラスターのみがサポートされます。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2021 年 11 月

バージョン番号	イメージアドレス	最終更新日	説明	影響
v0.5.0.6-g525daee-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.5.0.6-g525daee-aliyun	2021-11-15	ACR の新しいイメージ署名データ形式をサポートします。 ARM64 アーキテクチャをサポートします。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2021 年 6 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
v0.4.0.1-gb2862c4-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.4.0.1-gb2862c4-aliyun	2021-06-10	新機能: 登録済みクラスターへの kritis-validation-hook コンポーネントのインストールをサポートします。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2021 年 3 月

バージョン番号	イメージアドレス	変更時間	説明	影響
v0.3.1.4-ga89b624-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.3.1.4-ga89b624-aliyun	2021-03-24	新機能: 名前にスラッシュ (/) を含むリポジトリ内のイメージの署名検証をサポートします。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2020 年 11 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
v0.2.7.2-g5fa671a-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.7.2-g5fa671a-aliyun	2020-11-24	イメージ署名検証のホワイトリスト機能をサポートします。ホワイトリスト内のイメージは検証されません。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。
v0.2.6.4-g94b0940-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.6.4-g94b0940-aliyun	2020-11-16	ACK イメージバージョンの不変性機能が有効になっているイメージの署名検証をサポートします。詳細については、「イメージバージョンの不変性を有効にする」をご参照ください。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2020 年 8 月

バージョン番号	イメージアドレス	最終更新日	説明	影響
v0.2.5.26-g75d5297-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.5.26-g75d5297-aliyun	2020-08-12	デフォルトでは、署名検証が失敗した場合、理由が [FailedKritisAdmission] のイベントが kube-system 名前空間に生成されます。ドライランモードが追加されました。これはデフォルトで無効になっています。このモードを有効にすると、署名検証に失敗したリクエストが許可されます。理由が [DryRunKritisAdmission] のイベントが kube-system 名前空間に生成されます。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2020 年 6 月

バージョン番号	イメージアドレス	変更時間	変更点	影響
v0.2.4.1-ge5c1265-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.4.1-ge5c1265-aliyun	2020-06-22	署名付き ACR イメージのクロスリージョン検証をサポートします。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2020 年 4 月

バージョン番号	イメージアドレス	変更時間	変更の説明	影響
v0.2.3.1-00e70883-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.3.1-00e70883-aliyun	2020-04-07	プログラムのパフォーマンスを最適化し、ログの内容を改善しました。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。

2020 年 3 月

バージョン番号	イメージアドレス	最終更新日	変更点	影響
v0.2.2.3-fe8a6319-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/kritis-server:v0.2.2.3-fe8a6319-aliyun	2020-03-18	kritis-validation-hook は Container Registry と統合されています。KMS によって署名されたイメージの署名を検証できます。これにより、信頼できるコンテナイメージのみが ACK クラスターにデプロイされるようになります。	コンポーネントのアップグレードが異常な場合、クラスターリソースの変更が失敗する可能性があります。オフピーク時にコンポーネントをアップグレードしてください。