Kubernetes在v1.36版本中推出了用户命名空间支持，这是一个Linux专属功能。它实现了在Kubernetes工作负载中的“无根”安全隔离，允许以特权运行工作负载并限制在用户命名空间内。通过设置hostUsers: false，特权能力如CAP_NET_ADMIN被命名空间化，从而增强了安全性和性能。此功能经过多年开发，感谢所有贡献者的努力。