Kubernetes v1.36: Thắt chặt bảo mật mặc định và hoàn thiện hỗ trợ cho khối lượng công việc AI

Dự án Kubernetes đã phát hành phiên bản 1.36 với tên mã là Haru, đánh dấu bản phát hành lớn đầu tiên của năm 2026. Bản cập nhật này bao gồm tổng cộng 70 tính năng cải tiến, trong đó có 18 tính năng đạt trạng thái Ổn định (Stable), 25 tính năng bước sang giai đoạn Thử nghiệm (Beta) và 25 tính năng Sơ khai (Alpha). Phiên bản này tập trung mạnh mẽ vào việc tăng cường bảo mật, hỗ trợ các khối lượng công việc AI/machine learning và cải thiện khả năng mở rộng API ở quy mô lớn.

/filters:no_upscale()/news/2026/05/kubernetes-1-36-released/en/resources/1Screenshot From 2026-05-13 20-26-51-1778700443709.png)

Bảo mật được thắt chặt

Một trong những cập nhật bảo mật đáng chú ý nhất trong bản phát hành này là User Namespaces chính thức đạt trạng thái Ổn định (GA). Tính năng này đã được phát triển qua nhiều chu kỳ phát hành, giúp ánh xạ người dùng root của container sang một người dùng không có đặc quyền trên máy chủ. Điều này đảm bảo rằng nếu một quá trình thoát khỏi container, nó sẽ không có quyền truy cập quản trị vào node cơ bản.

Ngoài ra, Mutating Admission Policies cũng đạt GA, cho phép các đội ngũ định nghĩa logic thay đổi (mutation logic) như một đối tượng Kubernetes gốc sử dụng Common Expression Language (CEL). Điều này loại bỏ yêu cầu duy trì một máy chủ webhook riêng biệt, cung cấp một giải pháp thay thế hiệu suất cao cho các webhook truyền thống và giảm độ trễ cũng như sự phức tạp vận hành.

Tính năng Fine-Grained Kubelet API Authorization cũng đạt GA trong bản phát hành này. Được giới thiệu lần đầu dưới dạng Alpha trong v1.32, tính năng này cho phép kiểm soát quyền truy cập chính xác hơn, tuân thủ nguyên tắc đặc quyền tối thiểu đối với API HTTPS của kubelet. SELinux Volume Labeling cũng trở nên ổn định, thay thế việc gán nhãn tệp đệ quy bằng tùy chọn mount, giúp giảm độ trễ khởi động pod trên các hệ thống thực thi SELinux.

/filters:no_upscale()/news/2026/05/kubernetes-1-36-released/en/resources/1Kubernetes 1.36-security-policy-1778700668408.png)

Hỗ trợ khối lượng công việc AI trưởng thành hơn

Câu chuyện về AI và machine learning trong v1.36 chủ yếu là việc các cấu hình mặc định bắt kịp với các yêu cầu khối lượng công việc tích lũy trong hai năm qua. Nhiều cải tiến cho Dynamic Resource Allocation (DRA) đã đạt Beta và được bật mặc định trong bản phát hành này, bao gồm DRA Partitionable Devices, DRA Consumable Capacity và DRA Device Taints và Tolerations.

Các tính năng này thay thế mô hình trình cắm thiết bị GPU nguyên thủy (nơi một card duy nhất được phân bổ toàn bộ bất kể mức sử dụng thực tế) bằng các nguyên thủy có thể diễn tả cách các bộ tăng tốc hiện đại được phân vùng, chia sẻ và khôi phục khi gặp sự cố. Cách tiếp cận có cấu trúc này giúp giảm bớt sự phức tạp của các triển khai AI đa node.

Tính năng Alpha nổi bật cho AI là Workload-Aware Preemption (Giành quyền ưu tiên nhận thức khối lượng công việc). Trước đây, trình lập lịch sẽ giành quyền ưu tiên từng pod riêng lẻ để nhường chỗ cho khối lượng công việc ưu tiên cao hơn, điều này có thể khiến công việc đào tạo phân tán bị đình trệ. Hành vi mới này coi một PodGroup là một đơn vị giành quyền ưu tiên duy nhất và chỉ tiếp tục evict sau khi xác nhận rằng nhóm ưu tiên cao hơn thực sự vừa vặn. Điều này giải quyết "chế độ thất bại giành quyền ưu tiên một phần" vốn là một điểm đau thường trực khi chạy các công việc GPU lớn. Gang Scheduling API cũng chuyển sang Beta trong v1.36.

Mutable Pod Resources for Suspended Jobs cũng chuyển sang Beta và được bật mặc định. Tính năng này cho phép bộ điều khiển hàng đợi tạm dừng một công việc đang chạy, điều chỉnh yêu cầu CPU, bộ nhớ, GPU hoặc tài nguyên mở rộng để phù hợp với dung lượng cụm có sẵn, sau đó tiếp tục chạy mà không cần hủy và tạo lại các pod.

Khả năng mở rộng và Hiệu suất

Về khả năng mở rộng API, v1.36 giới thiệu luồng danh sách và xem phân mảnh (sharded list and watch streams) dưới dạng tính năng Alpha. Các cụm lớn với nhiều bộ điều khiển có thể gặp phải điểm nghẽn luồng xem khi tất cả người xem nhận cập nhật qua một kết nối duy nhất cho mỗi loại tài nguyên. Cách tiếp cận phân mảnh phân phối tải này qua nhiều luồng, giải quyết điểm đau chính cho các triển khai rất lớn.

Memory QoS thông qua cgroup v2 chuyển sang Beta, cung cấp bảo vệ bộ nhớ phân tầng tốt hơn, đồng bộ hóa các điều khiển kernel với yêu cầu và giới hạn của pod để giảm thiểu tranh chấp giữa các khối lượng công việc chia sẻ một node. In-Place Vertical Scaling cho tài nguyên cấp độ Pod cũng chuyển sang Beta và được bật mặc định, cho phép thay đổi kích thước gói CPU và bộ nhớ mà không cần khởi động lại container.

Các thay đổi quan trọng khác

Các đội ngũ lên kế hoạch nâng cấp cần lưu ý một số thay đổi quan trọng. Trình cắm khối lượng gitRepo đã bị loại bỏ hoàn toàn sau khi bị phản đối từ v1.11 do lỗ hổng bảo mật cho phép kẻ tấn chạy mã dưới quyền root trên một node. Chế độ IPVS trong kube-proxy, bị phản đối trong v1.35, cũng bị loại bỏ. Ngoài ra, hỗ trợ flex-volume trong kubeadm và trình điều khiển Portworx tích hợp cũng bị loại bỏ.

Một thay đổi vận hành đáng chú ý là việc nghỉ hưu của dự án Ingress NGINX. Kubernetes SIG Network và Ủy ban Phản hồi Bảo mật đã nghỉ hưu dự án này vào ngày 24 tháng 3 năm 2026. Kể từ ngày đó, không có bản phát hành, bản sửa lỗi hoặc bản vá lỗ hổng bảo mật nào được thực hiện thêm.

Như VMware Cloud Foundation đã nhận định, Kubernetes đang chuyển từ một khung linh hoạt sang các mặc định có quan điểm rõ ràng hơn về bảo mật và tiêu chuẩn tài nguyên. Việc theo kịp Kubernetes không còn chỉ là nâng cấp cụm, mà còn liên quan đến việc quản lý sự phức tạp của vòng đời và hiểu rõ tác động của các thay đổi đối với các khối lượng công việc hiện có.