Post #1706

🚀Kubernetes v1.33: User namespaces включены по умолчанию! Теперь, если ваша инфраструктура поддерживает необходимые требования, Kubernetes позволит подам автоматически использовать user namespaces — без дополнительных флагов и включений. Что такое user namespace? Это функция Linux, которая разделяет идентификаторы пользователей (UID/GID) между контейнером и хостом. Процесс может быть root внутри контейнера, но на хосте — обычный непривилегированный пользователь. Это значительно повышает безопасность: - Предотвращает боковые атаки между контейнерами - Изолирует контейнер от хоста, даже при повышенных правах Что нужно для работы? - Kubernetes v1.33+ - Включение в Pod манифесте: spec.hostUsers: false - Поддержка idmap mounts на файловых системах (нужен Linux 6.3+) - Совместимый runtime: containerd ≥ 2.0 или CRI-O ≥ 1.25 Почему это важно? Теперь можно безопаснее запускать приложения с root-привилегиями внутри контейнера — без риска для узла и других подов. Это решение позволяет реализовывать задачи CI/CD, вложенные контейнеры и контейнеры внутри Kubernetes (Docker-in-Docker) безопаснее и проще. Подробнее:официальный блог от команды Kubernetes