Có gì mới trong Kubernetes 1.33

📑 Mục Lục

1. Tính năng mới nổi bật
2. Các cập nhật & cải tiến khác
3. Bảo mật

Phiên bản Kubernetes 1.33, phát hành vào tháng 4/2025, mang đến nhiều cập nhật quan trọng, tập trung vào hiệu suất, bảo mật và trải nghiệm dành cho developer & operator.

🔥Tính năng mới nổi bật

✅ Partial Success for Indexed Jobs (Beta)

• Hỗ trợ job dạng Indexed có thể hoàn thành một phần (succeededIndexes) — hữu ích cho batch workloads như:
  • Data processing
  • ML training shard
• Tránh việc toàn bộ job bị fail chỉ vì một vài index lỗi.

✅ Sidecar Containers (Stable)

• Chính thức GA!
• Cho phép chạy các container phụ (như log shipper, proxy) với lifecycle đồng bộ với main container.
• Không còn cần lifecycle hooks hoặc init container workaround.

✅ Storage Capacity Tracking for CSI Drivers (Stable)

• Cho phép CSI driver báo cáo dung lượng khả dụng tại từng node/zone.
• Scheduler thông minh hơn khi gán volume.
• Cực hữu ích trong multi-zone hoặc cloud storage dynamic provisioning.

✅ Ephemeral Containers Debug Enhancements (Beta)

• Thêm container debug vào pod với các tuỳ chọn namespace PID, net, mounts, v.v.
• Cải thiện UX kubectl debug.

  🔧 Các cập nhật & cải tiến khác

🛡️ Bảo mật

Seccomp

• Kubernetes từ v1.33 bật Seccomp mặc định cho tất cả các Pod nếu không chỉ định cụ thể profile nào. Seccomp giúp giới hạn các syscall mà container có thể gọi tới kernel, giảm nguy cơ khai thác:
  • Mặc định sẽ sử dụng: "RuntimeDefault"
  • Các syscall nguy hiểm như ptrace, clone3, mount,... sẽ bị chặn.

Trước đây, kubelet không ghi nhận đầy đủ các hành động như exec, logs, port-forward, dẫn đến khó kiểm soát hành vi nội bộ. Từ phiên bản 1.33:

Kubelet Audit Logging

• Kubelet có khả năng ghi log các hành động API truy cập trực tiếp.
• Ghi nhận thông tin như: user thực hiện, địa chỉ IP nguồn, loại hành động, đối tượng tài nguyên (pod name, namespace), và trạng thái phản hồi.
• Cung cấp dữ liệu chính xác để theo dõi:

  • Ai đang thực hiện thao tác kubectl exec

  • Lần truy cập gần nhất đến một pod từ mạng nội bộ

  • Tình trạng truy cập debug trái phép

    Lợi ích nổi bật:

    • Dễ tích hợp với hệ thống log tập trung (ELK, Loki, Splunk, SIEM)
    • Tăng khả năng phân tích hành vi bất thường
    • Hữu ích trong kiểm toán, bảo mật nội bộ và forensic investigation

API Server Audit Enhancements Audit logging từ API Server cũng được nâng cấp về mặt tính linh hoạt và hiệu năng:

• Cho phép lọc log chi tiết hơn theo:

  • Namespace

  • Resource group & loại tài nguyên

  • Hành động (verbs): create, delete, patch, v.v.

  • Giảm lượng log noise (nhiễu log) bằng cơ chế sampling và filtering tinh chỉnh

  • Dễ dàng tích hợp với webhook backend để đẩy log đến các hệ thống phân tích thời gian thực

    Điểm mạnh:

    • Giúp tập trung vào các event nhạy cảm (ví dụ: xóa secret, tạo pod đặc biệt)
    • Phân quyền audit theo team/app dễ hơn
    • Tối ưu hiệu suất cluster khi bật logging diện rộng

Gợi ý áp dụng

Tài Liệu Tham Khảo

• Dành cho workloads sử dụng batch jobs, sidecar containers, hoặc custom resources (CRD) – nên thử nghiệm ngay.
• Quan tâm bảo mật và hiệu suất admission – khám phá ValidatingAdmissionPolicy. Bạn có thể kiểm tra changelog và bài viết nước ngoài chính thức tại:
  • Kubernetes Release Notes 1.33
  • Kubernetes 1.33 - What you need to know