概要
NFSのCSIドライバー csi-driver-nfs v4.13.2 と、コンテナランタイム containerd の複数バージョン(v2.3.0-beta.2・v2.2.3・v2.1.7・v2.0.8)がリリースされました。
背景・前提知識
NFS(Network File System)とは? ネットワーク経由でファイルシステムを共有するプロトコルです。複数のPodで同じファイルを共有したい場合(ReadWriteMany)によく使われます。
CSIドライバーとは? KubernetesがストレージシステムをPodにマウントするための標準インターフェースを実装したプラグインです。KEP-5538のノートも参照。
containerd とは? KubernetesがコンテナをNodeで実行するために使うコンテナランタイムです。以前は Docker が使われていましたが、現在はほとんどのKubernetesクラスターが containerd を使っています。CRIに準拠したコンポーネントとして、kubeletとgRPCで通信します。
shimとは? containerd がコンテナを管理する際の中間プロセスです。containerd 本体とコンテナプロセスの間に位置し、コンテナのライフサイクル管理を担います。
EROFS(Extended Read-Only File System)とは? Linux のリードオンリーファイルシステムです。コンテナイメージのレイヤーを効率的に保存・読み込みするために使われます。zstd は高速な圧縮アルゴリズムで、zstd-wrapped EROFS は zstd で圧縮された EROFS レイヤーを指します。
詳細
csi-driver-nfs v4.13.2
| 変更 | 内容 |
|---|---|
| CVE-2026-33186 修正 | セキュリティ脆弱性の修正 |
| VolumeAttributesClass エラーログ回避 | CSIサイドカーコンテナで不要な VolumeAttributesClass エラーが表示される問題を修正 |
VolumeAttributesClass は v1.36 で GA となったストレージクラスの属性機能ですが、古いCSIサイドカーコンテナがこの機能を認識せずエラーログを出力する問題がありました。本リリースで回避策が実装されています。
containerd v2.3.0-beta.2(最新開発版)
| 機能 | 説明 |
|---|---|
| shimブートストラッププロトコル | shimの起動プロセスを標準化する新プロトコル |
| コンテナファイルシステムコピー転送タイプ | コンテナのファイルシステムをコピーするための新しいTransfer API |
| zstd-wrapped EROFSレイヤーサポート | 高速圧縮によるコンテナイメージの効率化 |
| ユーザーネームスペース + ホストネットワーク | 従来は不可だった組み合わせをサポート |
| 発信RPCへのOpenTelemetryトレース伝播 | containerd から外部への gRPC 呼び出しにトレースコンテキストを伝播 |
ユーザーネームスペース + ホストネットワークの組み合わせが特に注目です。ユーザーネームスペースはコンテナ内の uid/gid をホストと分離するセキュリティ機能ですが、これまでホストネットワーク使用時には利用できませんでした。今回のアップデートでこの制限が解消されます。
安定版パッチリリース
| バージョン | 対象 |
|---|---|
| v2.2.3 | containerd 2.2.x ブランチのパッチ |
| v2.1.7 | containerd 2.1.x ブランチのパッチ |
| v2.0.8 | containerd 2.0.x ブランチのパッチ |
既存ユーザへの影響
NFSユーザー:
- CVE-2026-33186 の修正が含まれるため、csi-driver-nfs を使っている場合は v4.13.2 への早期アップデートを推奨
containerd ユーザー:
- v2.3.0 はまだベータのため本番使用は非推奨
- 使用中のブランチ(v2.0・v2.1・v2.2)の最新パッチ版への更新を推奨
- ユーザーネームスペース + ホストネットワークの組み合わせを必要とするワークロードは v2.3.0 正式リリース後に対応予定