Nguồn: Kubernetes Blog
Tóm tắt
Kubernetes v1.36 đánh dấu tính năng Fine-Grained Kubelet API Authorization chính thức lên GA (Generally Available). Tính năng này giải quyết vấn đề bảo mật cơ bản trong các cluster: trước đây, kubelet API sử dụng mô hình authorization all-or-nothing — một principal hoặc có full access vào tất cả kubelet APIs, hoặc không có gì.
Với fine-grained authorization, các component như metrics scraper, log aggregator, hay CI/CD system chỉ cần được cấp quyền truy cập vào những kubelet API endpoint cụ thể mà họ thực sự cần. Điều này giảm đáng kể attack surface: nếu một component bị compromise, attacker không thể tự động escalate để truy cập toàn bộ node state thông qua kubelet.
Tính năng này hoạt động thông qua Kubernetes webhook authorization — kubelet có thể delegate authorization decisions cho API server, sử dụng cùng RBAC/webhook infrastructure hiện có. Không cần thay đổi kiến trúc lớn; cluster operator chỉ cần enable feature gate và cập nhật RBAC policies.
Việc lên GA sau nhiều release ở alpha/beta phản ánh mức độ trưởng thành của tính năng, với production deployments thực tế đã validate các edge cases. Đây là bước quan trọng hướng tới mô hình least-privilege cho toàn bộ Kubernetes control plane, không chỉ giới hạn ở level API server.