Nguồn: Kubernetes Blog
Tóm tắt
Kubernetes v1.36 chính thức đưa tính năng SELinux Volume Label Changes lên trạng thái GA (Generally Available). Tính năng này thay đổi cách Kubernetes gán SELinux labels cho volumes, với ý nghĩa bảo mật quan trọng cho các cluster chạy trong môi trường có SELinux được bật.
Thay đổi này ảnh hưởng đến cách các pod mount volumes với SELinux context: thay vì chown toàn bộ volume (tốn kém về I/O), Kubernetes sẽ sử dụng mount option -o context= để gán label hiệu quả hơn. Tuy nhiên, thay đổi này có thể gây breaking changes cho các workloads hiện tại nếu SELinux policy không được cấu hình đúng.
Bài viết cũng đề cập đến những implications dự kiến trong v1.37, nơi behavior có thể trở thành default. Các cluster administrators cần kiểm tra SELinux policy của mình và đảm bảo rằng các volumes được label đúng trước khi upgrade.
Đây là ví dụ về cách Kubernetes tiếp cận security hardening: tính năng được giới thiệu ở Alpha/Beta để cộng đồng có thời gian thử nghiệm, sau đó mới GA với đầy đủ documentation về migration path và breaking changes.