Kubernetes 1.33이 InPlacePodVerticalScaling 기능과 User Namespaces 지원으로 Pod 재배포 없이 리소스 조정 및 다중 테넌트 보안 강화

Context

기존 Kubernetes에서는 Pod의 CPU/메모리 요청값 변경 시 Pod을 완전히 삭제하고 재생성해야 했다. 또한 다중 테넌트 환경에서 컨테이너의 UID/GID가 호스트와 직접 매핑되어 UID 재사용을 통한 권한 상승 공격에 취약했다.

Technical Solution

• InPlacePodVerticalScaling 기능 도입: Pod 재배포 없이 CPU/메모리 요청값을 동적으로 조정 가능하게 변경
• User Namespaces 지원 추가: 컨테이너의 UID/GID 매핑을 호스트와 격리하는 네임스페이스 구현
• UID 재사용 차단: User Namespaces를 통해 다중 테넌트 환경에서 동일 UID로 인한 권한 상승 방지

Key Takeaway

Kubernetes 1.33의 In-Place Pod Resize는 운영 중 리소스 조정 시 서비스 중단을 제거하는 설계 원칙을 강조하며, User Namespaces는 컨테이너 격리 수준을 심화시켜 다중 테넌트 보안 기본값을 높이는 기술 가치를 제공한다.