Nguồn: Red Hat Blog Tóm tắt Red Hat’s “Friday Five” là bản tin hàng tuần tổng hợp 5 bài viết và tin tức đáng chú ý từ hệ sinh thái open-source và enterprise IT. Số ra ngày 1/5/2026 bao gồm các chủ đề liên quan đến Red Hat’s OpenClaw maintainer Sally O’Malley và project Tank OS — một công cụ open-source giúp đơn giản hóa việc deploy OpenClaw agent một cách an toàn cho môi trường enterprise....
Nguồn: Lovable Blog Tóm tắt Lovable — nền tảng tạo hơn 50 sandbox mỗi giây lúc cao điểm — gặp phải loạt lỗi kết nối không rõ nguyên nhân: mở project thất bại, clone code từ GitHub timeout, và “Connection reset by peer”. Kỹ sư infrastructure Sascha đã dùng AI agent để phân tích hàng triệu dòng log trong Clickhouse, phát hiện ra các pod anetd (implementation của Cilium của Google trên GKE) đang restart khoảng 120 lần trong 6 ngày — gần 1 lần crash mỗi giờ....
Nguồn: OVHcloud Blog Tóm tắt Copy.Fail (CVE-2026-31431) là một zero-day nghiêm trọng trong Linux kernel, được Theori công bố ngày 29/4/2026. Lỗ hổng ảnh hưởng đến toàn bộ distro Linux kể từ năm 2017 và cho phép leo thang đặc quyền (privilege escalation) đáng tin cậy, không phụ thuộc vào race condition hay kernel address leak. Root cause là logic flaw trong module algif_aead — giao diện crypto AF_ALG của kernel....
Nguồn: Red Hat Blog Tóm tắt Khi AI workload chuyển từ thử nghiệm sang production, các tổ chức muốn chia sẻ GPU infrastructure giữa nhiều tenant để tối ưu chi phí. Tuy nhiên, trong môi trường multi-tenant, thiếu isolation có thể dẫn đến performance interference, latency không thể đoán trước, và thậm chí data exposure giữa các workload. Red Hat phân tích rằng isolation trong GPU infrastructure phải được thiết kế qua 4 layer độc lập: (1) Hardware isolation — xác định tenant nào sở hữu GPU vật lý nào, thực thi qua VFIO và IOMMU; (2) Fabric isolation — kiểm soát việc GPU giao tiếp qua high-speed interconnect như NVLink, xGMI; (3) Scheduler isolation — đảm bảo orchestrator không mix GPU từ các fabric domain khác nhau vào cùng một workload; (4) Virtualization isolation — kiểm soát resource partition trong từng GPU (full passthrough, MIG, hay time-slicing)....
Nguồn: Salesforce Engineering Blog Tóm tắt Salesforce phát hiện rằng gần 47% tổng chi phí Kubernetes trên nền tảng Hyperforce bị lãng phí do over-provisioning. Hơn 8.000 service Kubernetes được quản lý, nhưng configuration drift qua nhiều năm khiến việc tối ưu hóa thủ công trở nên bất khả thi — service owner thiếu visibility và thiếu tự tin để thay đổi config trong môi trường production phức tạp. Giải pháp là xây dựng Capacity Optimization Agent — một hệ thống AI phân tích cấu hình service qua các repository, tính toán resource allocation tối ưu, và tạo pull request trực tiếp để áp dụng thay đổi....
Nguồn: Bytebytego Tóm tắt Wise — nền tảng chuyển tiền quốc tế phục vụ hơn 15,6 triệu khách hàng và xử lý £36 tỷ mỗi quý — được xây dựng trên hơn 1.000 microservice với 850+ kỹ sư tổ chức theo mô hình autonomous squad. Yếu tố cốt lõi giữ toàn bộ hệ thống hoạt động nhất quán là một internal platform engineering strategy: chassis framework, Kubernetes CRP (Compute Runtime Platform), và Spinnaker với canary analysis tự động....
Nguồn: Discord Engineering Tóm tắt Vào ngày 25 tháng 3 năm 2026, dịch vụ voice và video của Discord bị gián đoạn nghiêm trọng trong khoảng 3 tiếng đồng hồ, từ 12:13 đến 15:30 PDT. Nguyên nhân bắt nguồn từ một thay đổi cấu hình định kỳ trong quá trình migration sang Kubernetes — nhóm kỹ thuật tăng CPU/memory của pod và giảm số lượng pod theo tỷ lệ để kiểm tra CPU utilization....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36 giới thiệu các cập nhật quan trọng cho tính năng Memory QoS (alpha) — tính năng sử dụng cgroup v2 memory controller để cung cấp hướng dẫn tốt hơn cho kernel trong việc quản lý bộ nhớ container. Thay đổi lớn nhất là “tiered memory reservation” qua memoryReservationPolicy: TieredReservation: Guaranteed Pods nhận hard protection qua memory.min (kernel không bao giờ reclaim), trong khi Burstable Pods nhận soft protection qua memory....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36 giới thiệu tính năng giảm thiểu staleness (dữ liệu cũ) cho các controller, giải quyết một vấn đề lâu dài ảnh hưởng đến nhiều controller trong hệ sinh thái. Staleness xảy ra khi cache của controller chưa được cập nhật kịp với trạng thái thực tế của API server, dẫn đến các hành động không chính xác hoặc bị bỏ lỡ — thường chỉ được phát hiện khi đã xảy ra sự cố trong môi trường production....
Nguồn: OVHcloud Blog Tóm tắt KubeCon + CloudNativeCon Europe 2026 diễn ra tại Amsterdam từ ngày 23 đến 26 tháng 3, thu hút hàng chục nghìn kỹ sư và chuyên gia cloud-native từ khắp thế giới. OVHcloud cử 28 nhân viên tham dự sự kiện, trong đó có Aurélie Vache và Rémy Vandepoel, những người đã chia sẻ nhận xét và góc nhìn của mình về sự kiện lớn nhất trong hệ sinh thái Kubernetes năm 2026....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36 nâng cấp tính năng “Mutable Pod Resources for Suspended Jobs” lên trạng thái beta, sau khi được giới thiệu ở alpha trong v1.35. Tính năng này cho phép các bộ điều khiển queue và quản trị viên cluster điều chỉnh yêu cầu tài nguyên CPU, bộ nhớ, GPU và các tài nguyên mở rộng trong pod template của một Job trong khi Job đang ở trạng thái suspended, trước khi Job bắt đầu hoặc tiếp tục chạy....
Nguồn: Kloak Tóm tắt Kloak là một công cụ quản lý secret cho Kubernetes sử dụng eBPF để intercept traffic HTTPS ở tầng kernel, thay thế secret thật bằng hash placeholder trước khi dữ liệu đến ứng dụng. Điều này đảm bảo application code không bao giờ nhìn thấy credential thực tế, loại trừ nguy cơ lộ secret qua log, error message hay biến môi trường. Cách hoạt động: sau khi đăng ký một Kubernetes Secret với label getkloak....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36 đánh dấu tính năng Fine-Grained Kubelet API Authorization chính thức lên GA (Generally Available). Tính năng này giải quyết vấn đề bảo mật cơ bản trong các cluster: trước đây, kubelet API sử dụng mô hình authorization all-or-nothing — một principal hoặc có full access vào tất cả kubelet APIs, hoặc không có gì. Với fine-grained authorization, các component như metrics scraper, log aggregator, hay CI/CD system chỉ cần được cấp quyền truy cập vào những kubelet API endpoint cụ thể mà họ thực sự cần....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36 chính thức đưa User Namespaces lên GA — tính năng bảo mật container quan trọng đã được phát triển qua nhiều năm. User Namespaces là một Linux kernel feature cho phép map user IDs bên trong container sang một dải UID khác trên host, thường là unprivileged UIDs. Vấn đề cốt lõi mà tính năng này giải quyết: trong Kubernetes không có User Namespaces, một container process chạy với UID 0 (root) bên trong container thực chất cũng là UID 0 trên host....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36, có tên mã “Haru” (春 — mùa xuân tiếng Nhật), được phát hành vào ngày 22 tháng 4 năm 2026. Bản release này bao gồm 70 enhancements: 18 tính năng đạt Stable, 25 tính năng vào Beta, và 25 tính năng mới ở Alpha — tiếp nối chu kỳ phát hành đều đặn và chất lượng cao của cộng đồng Kubernetes. Logo của v1....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes v1.36 chính thức đưa tính năng SELinux Volume Label Changes lên trạng thái GA (Generally Available). Tính năng này thay đổi cách Kubernetes gán SELinux labels cho volumes, với ý nghĩa bảo mật quan trọng cho các cluster chạy trong môi trường có SELinux được bật. Thay đổi này ảnh hưởng đến cách các pod mount volumes với SELinux context: thay vì chown toàn bộ volume (tốn kém về I/O), Kubernetes sẽ sử dụng mount option -o context= để gán label hiệu quả hơn....
Nguồn: Reddit Engineering Tóm tắt (Không thể truy cập nội dung đầy đủ) Bài viết từ Reddit Engineering blog chia sẻ về hành trình loại bỏ sidecar containers trong kiến trúc Kubernetes của Reddit. Đây là một pattern phổ biến trong microservices — nơi các sidecar được dùng cho service mesh, logging, monitoring — nhưng cũng gây overhead đáng kể về tài nguyên và độ phức tạp. Việc giảm tải sidecar containers trong Kubernetes clusters quy mô lớn là một bài toán thực tế mà nhiều tổ chức phải đối mặt....
Nguồn: Kubernetes Blog Tóm tắt Kubernetes Gateway API v1.5 vừa được phát hành, đánh dấu sự chuyển dịch của nhiều tính năng quan trọng từ trạng thái thử nghiệm (beta/experimental) lên trạng thái ổn định (stable). Đây là phiên bản tiếp theo trong lộ trình thay thế dần Ingress API truyền thống bằng một mô hình định tuyến lưu lượng linh hoạt và mạnh mẽ hơn cho Kubernetes. Gateway API v1....
Nguồn: Pinterest Engineering Tóm tắt Đội ngũ Kubernetes platform tại Pinterest đã trải qua cuộc điều tra kéo dài hơn ba tháng để xác định nguyên nhân gốc rễ khiến các Ray training job trên GPU bị crash do mất kết nối mạng. Vấn đề bắt đầu khi đội ML platform báo cáo rằng các distributed training job — thường chạy hàng giờ trên phần cứng GPU đắt tiền — gặp sự cố mạng ngắt quãng, dẫn đến tỉ lệ thành công giảm hơn 25%....
Nguồn: Red Hat Blog Tóm tắt Red Hat phát hành OpenShift Pipelines 1.21, bản cập nhật CI/CD platform dựa trên Tekton cho OpenShift với ba cải tiến chính: faster builds, smarter caching và improved troubleshooting. Đây là nền tảng pipeline cloud-native chạy hoàn toàn trên Kubernetes, cho phép các team định nghĩa pipeline-as-code và chạy workload CI/CD trong containers độc lập. Phiên bản 1.21 tập trung vào hiệu suất — tối ưu tốc độ build thông qua caching thông minh hơn, giúp giảm thời gian pipeline execution đáng kể, đặc biệt với các codebase lớn thường xuyên rebuild....