概要
Kubernetes v1.36のスナップショット(Sneak Peek)記事が2026年3月30日に公式ブログで公開された。正式リリースは2026年4月22日を予定しており、セキュリティ強化を軸に複数の重要な変更が加えられる。主な変更点は、長年の脆弱性対応としてspec.externalIPsフィールドの非推奨化、セキュリティリスクのあったgitRepoボリュームドライバーの完全削除、SELinuxラベリング改善のGA(一般提供)対応、そしてHPAのScale-to-Zeroのデフォルト有効化などだ。
セキュリティ関連の変更
spec.externalIPsの非推奨化は、CVE-2020-8554への対応として実施される。この脆弱性はServiceのexternalIPsフィールドを悪用することで中間者攻撃が可能になるもので、v1.36で非推奨となりv1.43での削除が計画されている。代替手段としてはLoadBalancer Service、NodePort Service、またはGateway APIへの移行が推奨されている。
gitRepoボリュームドライバーの削除も同リリースで実施される。このドライバーはv1.11から非推奨だったが、ノード上でroot権限によるコード実行を可能にするセキュリティ上の欠陥があったため、v1.36でついに完全削除される。代替手段としてはinitコンテナや外部のgit-syncツールの利用が推奨されている。
また、Ingress NGINXプロジェクトのリタイアが2026年3月24日に発表された。セキュリティバグ修正と新リリースが停止され、既存のデプロイメントは引き続き動作するものの、Gateway APIへの移行が強く推奨されている。
kube-proxyのIPVSモードもv1.35で非推奨となっており、v1.36で削除される。移行先としてはnftablesバックエンドのiptables、またはCiliumなどのeBPFベースのソリューションが選択肢となる。
新機能・改善
SELinuxボリュームラベリングの改善がGA(一般提供)に昇格する。従来は再帰的なファイルリラベリングが行われておりPodの起動遅延を招いていたが、mount -o context=XYZオプションを用いた新方式によりこの問題が解消される。v1.28のReadWriteOncePod向けベータ実装から始まり、v1.32のメトリクス追加を経て、v1.36では全ボリューム対応・デフォルト有効化としてGAに到達する。
HPA(Horizontal Pod Autoscaler)のScale-to-Zero機能がデフォルト有効となる。v1.16からアルファとして提供されていたHPAScaleToZeroフィーチャーゲートが有効化され、トラフィックがゼロになった際にPodを完全にスケールダウンし、需要が復帰した際に自動でスケールアップできるようになる。ステージング環境やバッチ処理、コスト最適化の観点で特に有用な機能だ。
イメージプルへのエフェメラルサービスアカウントトークンの採用(KEP-2535)も注目の変更点だ。これまでの長期有効なシークレットに代わり、Podのアイデンティティにスコープされた短命かつ自動ローテーションされるトークンを使用するようになる。v1.33でアルファ、v1.34でベータを経てv1.36で本番対応となる予定だ。
新しいアルファ機能として、HPAのPod選択の精緻化も導入される。メトリクス収集において、対象ワークロードが直接管理するPodのみを収集対象とすることで、孤立したPodによるスケーリングエラーを防止できるようになる。
今後の展望
containerd 1.6.x系のサポートについては、v1.36が古いバージョンをサポートする最後のリリースとなるため、該当ユーザーはcontainerd 2.x系へのアップグレードを検討する必要がある。リリーススケジュールは機能強化フリーズが2月11日に完了し、コード凍結が3月18日、ドキュメント凍結が4月8日、そして正式リリースが4月22日となっている。セキュリティを重視した今回の変更群は、長年先送りにされてきた脆弱性対応を一気に前進させるものであり、クラスター管理者には早期の影響評価と移行計画の策定が求められる。