Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
K8S-HAMMER! Am 22. April 2026 ist Kubernetes v1.36 released worden – und mit dabei ist ein Feature, auf das viele Cluster-Admins seit JAHREN warten: User Namespaces sind GA. General Available. Stable. Für ALLE. UNGLAUBLICH, was das für dein Homelab und deine Sicherheit bedeutet.
Intel NUC 13 Pro NUC13ANHi5 Arena Canyon (i5-1340P, 16 GB, 512 GB)SCHOCK: Was zur Hölle sind User Namespaces?
Stell dir vor, dein Container läuft als root. Klingt okay – aber dieser root ist DIESELBE UID wie auf deinem Host. Wenn der Container ausbricht, hast du sofort einen ROOT-Angreifer auf deinem Cluster-Host. GAU.
User Namespaces ändern das. Der root im Container wird auf eine unprivilegierte UID auf dem Host gemappt. Heißt im Klartext: Selbst wenn ein Container ausbricht, ist der Angreifer auf dem Host nur ein nobody. NULL Macht.
UNGLAUBLICH: Warum erst JETZT GA?
User Namespaces gibt’s im Linux-Kernel längst. Aber Kubernetes braucht zusätzlich:
- idmap mounts im Kernel – gibt’s seit 5.12, breit ab 6.x.
- Container-Runtime-Support – containerd 2.x und CRI-O liefern.
- kubelet- und API-Anpassungen, die jetzt mit 1.36 stabil sind.
Die Beta lief seit 1.30 – mehrere Releases lang. Jetzt ist alles da, GA und produktionsreif.
GEFAHR! Was ändert sich für DICH?
Wenn du dein Homelab mit microk8s, k3s oder ein kubeadm-Cluster fährst: nichts bricht. User Namespaces sind opt-in. Du musst sie aktiv einschalten. ABER: Wer es jetzt aktiviert, kriegt deutlich mehr defense in depth.
Im Pod-Spec einfach setzen:
spec:
hostUsers: false
containers:
- name: app
image: registry.example.com/app:1.0Das war’s. Dein Pod läuft ab jetzt mit gemappten UIDs. Schnellste Sicherheits-Aufwertung des Jahres.
So aktivierst du User Namespaces in 5 MINUTEN!
- Cluster updaten:
kubeadm upgrade plan, dann auf 1.36. - Kernel prüfen:
uname -r– mind. 6.5 ist Pflicht für reibungsloses idmap. - containerd updaten: Version 2.x ist Pflicht.
- Pod-Spec anpassen:
hostUsers: falserein. - kubectl apply, dann id im Pod prüfen – UID 0 im Container, UID hoch (z. B. 100000) auf dem Host.
EXTRA-TIPP: Ingress-NGINX ist tot!
Noch ein Bonus aus dem 1.36-Release: Ingress-NGINX wurde am 24. März 2026 von SIG Network und der Security Response Committee ENDGÜLTIG retired. Wenn du noch das alte Ingress-NGINX nutzt: JETZT migrieren! Auf InGate, Traefik oder Gateway API. Alles andere ist gefährlich.
FAZIT: Hardening ohne Schmerz!
Kubernetes 1.36 hebt die Sicherheits-Latte. User Namespaces GA und das Ende von Ingress-NGINX zeigen: K8S wird erwachsen. Wer JETZT auf 1.36 geht, kriegt massiv mehr Sicherheit – OHNE alles umbauen zu müssen. Das ist das beste Update-Argument seit 1.25 mit Pod Security Admission. JETZT aktualisieren, SOFORT hostUsers:false in deine Pod-Specs!
Quellen: kubernetes.io v1.36 sneak peek, Last Week in Kubernetes Development.