Autenticação de Registry Mirror com Kubernetes Secrets

Engenheiros da Red Hat desenvolveram um plugin de provedor de credenciais para CRI-O que permite que pods do Kubernetes se autentiquem em registry mirrors privados utilizando secrets com escopo de namespace, em vez de credenciais no nível do nó. Essa abordagem resolve um problema de isolamento de segurança em clusters multi-tenant.

A solução, que exige o recurso KubeletServiceAccountTokenForCredentialProviders do Kubernetes 1.33, utiliza tokens de service account dos pods para recuperar secrets do namespace de cada pod. Em seguida, gera arquivos de autenticação de curta duração para o CRI-O, mantendo o isolamento entre os tenants e preservando os benefícios de performance dos registry mirrors em ambientes air-gapped e sensíveis a custos.