Nguồn: Kubernetes Blog
Tóm tắt
Kubernetes v1.36 chính thức đưa User Namespaces lên GA — tính năng bảo mật container quan trọng đã được phát triển qua nhiều năm. User Namespaces là một Linux kernel feature cho phép map user IDs bên trong container sang một dải UID khác trên host, thường là unprivileged UIDs.
Vấn đề cốt lõi mà tính năng này giải quyết: trong Kubernetes không có User Namespaces, một container process chạy với UID 0 (root) bên trong container thực chất cũng là UID 0 trên host. Nếu container escape xảy ra, attacker có ngay quyền root trên node. Với User Namespaces, UID 0 trong container được map sang một UID không có đặc quyền trên host (ví dụ UID 100000), giới hạn nghiêm trọng khả năng leo thang đặc quyền.
Việc implement User Namespaces trong Kubernetes phức tạp hơn so với Docker thông thường vì phải phối hợp với CRI runtime (containerd, CRI-O), kubelet, và network plugins. CRI phải hỗ trợ cấp phát UID ranges nhất quán giữa các pods. Kubelet phải đảm bảo stateful workloads (volumes) hoạt động đúng khi UID mapping thay đổi.
Lên GA đồng nghĩa tất cả major CRI runtimes và các thành phần liên quan đã được cập nhật và kiểm tra đầy đủ. Đây là milestone bảo mật lớn nhất cho Kubernetes workloads trong nhiều năm gần đây, đặc biệt quan trọng với multi-tenant clusters và môi trường compliance nghiêm ngặt.