Linux 提供用户命名空间以隔离容器内的用户和组标识符（UID 和 GID），增强安全性。Kubernetes 1.30 将用户命名空间功能移至测试阶段，允许容器以 root 身份运行，但限制与主机的交互权限，从而降低容器突破的风险。该功能依赖于 Linux 6.3 及以上版本，支持 CRI-O 和 containerd。