피드로 돌아가기
Kubernetes 1.36: 8 Features Worth Your Attention
Dev.toDev.to
Infrastructure

K8s 1.36: API Server 내장 정책과 User Namespace GA를 통한 운영 복잡도 제거 및 보안 강화

Kubernetes 1.36: 8 Features Worth Your Attention

Aziz Zoaib2026년 6월 28일3intermediate

Context

기존 Admission Webhook 기반의 설정 자동화는 외부 서비스 운영 및 TLS 인증서 관리로 인한 높은 운영 오버헤드를 초래함. 또한 컨테이너 내부 root 권한이 호스트 OS의 root와 매핑되는 구조적 한계로 인해 Container Escape 공격 시 호스트 장악 위험이 상존함.

Technical Solution

  • CEL expression을 API Server 내에 직접 구현한 Mutating Admission Policies 도입으로 Webhook 의존성 제거
  • 컨테이너 내부 root 사용자를 호스트의 비특권 사용자로 매핑하는 User Namespaces GA를 통한 격리 수준 강화
  • RBAC 세분화를 통한 Kubelet Authorization 구현으로 nodes/proxy 권한 남용 방지 및 최소 권한 원칙 적용
  • OCI Registry를 Volume 소스로 직접 마운트하는 구조를 통해 ML 모델 및 정적 자산 배포 파이프라인 단일화
  • CPU, Memory, I/O의 실제 대기 시간을 측정하는 PSI Metrics 도입으로 단순 사용률 지표의 한계 극복
  • Suspended Job 상태에서의 Resource Request/Limit 수정 가능 구조를 통한 배치 워크로드 유연성 확보

- 기존 Admission Webhook의 CEL 전환 가능 여부를 검토하여 Webhook 서비스 운영 비용 제거 - hostUsers: false 설정을 통해 컨테이너 런타임 보안 격리 수준 상향 조정 - SSH 접속 없이 API를 통한 Node Log 쿼리로 트러블슈팅 프로세스 자동화 - OCI Registry를 활용한 설정 및 데이터셋 버전 관리 체계 구축 검토

원문 읽기