Developer News(開発者ニュース)
Kubernetes 1.36 がリリースされました。主な機能として、細粒度 kubelet API 認可のGA、MutatingAdmissionPolicy の stable 昇格(宣言的リクエスト変換)、グループベース(PodGroup)スケジューリングを実現する Workload Aware Scheduling の新機能が含まれています。詳細は公式リリースブログを参照してください。
Kernel Module Management (KMM) operator v2.6.0 がリリースされました。イメージリビルドトリガー、ホストカーネルモジュールのマウント、ファイル署名のグロブパターン、強化されたコンテナセキュリティコンテキストのサポートが追加されています。
SIG etcd が Josh Berkus (@jberkus) を新しいリーダーシップロールである共同チェアに指名しました。lazy consensus がdev メーリングリストでオープンになっています。
Kubernetes プロジェクトの新しい GitHub Actions セキュリティポリシーがエンタープライズレベルで施行されるようになりました。タグ、ブランチ、latest などのミュータブルなアクション参照を使用するワークフローは失敗するため、メンテナーはアクションを完全な40文字のコミット SHA にピン留めする必要があります。
Release Schedule(リリーススケジュール)
Kubernetes v1.36.0 がリリースされました。
Kubernetes パッチリリースの v1.33.11、v1.34.7、v1.35.4 が Golang バージョン 1.25.9 でビルドされプッシュされました。
KEP of the Week(今週のKEP)
KEP-5538: CSIドライバーがsecretsフィールド経由でサービスアカウントトークンを受け取るためのオプトイン
このKEPは、CSIドライバーが NodePublishVolumeRequest の専用 secrets フィールドを通じてサービスアカウントトークンを受け取るオプトインメカニズムを提案しています。現在、TokenRequests が CSIDriver spec で有効化されている場合、kubelet はサービスアカウントトークンを生成し、volume_context フィールド経由で渡しています。volume_context はPod名・namespace などの非機密メタデータ向けに設計されているため、CVE-2023-2878・CVE-2024-3744 などのセキュリティ問題が発生しました(protosanitizer が volume_context を機密データとして扱わないため、トークンがログに露出)。このKEPは、CSIドライバーが機密情報向けに設計された secrets フィールド経由でトークンを受け取るよう明示的にオプトインできるようにすることでこの問題を解決します。デフォルト動作は後方互換性のため変更されません。
Kubernetes v1.35 では、CSIServiceAccountTokenSecrets feature gate がデフォルトで有効化されたBetaとして提供されています。
Other Merges(その他のマージ)
- エアギャップ環境およびプライベートレジストリのテストイメージを使用した DRA e2e テストの実行を修正しました。
- スケジューリング失敗中に同じ名前でPodを置き換えると、古いin-flightキュー状態が残り、in-flightイベント追跡が無制限に増大するというスケジューラーのバグを修正しました。
Version Updates(バージョン更新)
- go.opentelemetry.io/otel を v1.41.0 に更新。release-1.33、release-1.34、release-1.35 も同様。
Subprojects and Dependency Updates(サブプロジェクト・依存関係の更新)
- cluster-api v1.13.0-rc.1: CVE-2026-39883 修正、InfraTemplate が欠落している場合のKCP削除修正、CAPDのDockerリソースを非推奨化
- cluster-api-provider-vsphere v1.16.0-rc.1: CAPI v1.13.0-rc.1 および CPI v1.36.0-rc.0 へのバンプ、CVE-2026-39883 修正
- csi-driver-nfs v4.13.2: CVE-2026-33186 修正、CSIサイドカーコンテナでのVolumeAttributesClassエラーログ回避
- containerd v2.3.0-beta.2: shimブートストラッププロトコル導入、コンテナファイルシステムコピーの転送タイプ追加、zstdラップされたEROFSレイヤーサポート、ホストネットワークでのユーザーネームスペース使用許可、発信RPCへのOpenTelemetryトレース伝播;v2.2.3、v2.1.7、v2.0.8 も同時リリース