D-OPEN

Kubernetes v1.36 sort le 22 avril 2026 : DRA GA, GPU scheduling NVIDIA, Kubescape 4.0 et Kyverno GA rebattent les cartes

Marc Petitjean

Marc Petitjean

Ingenieur plateforme et contributeur Kubernetes · 22 avril 2026 · 12 min de lecture

Suivre sur Google NewsResumer :ChatGPTClaudePerplexity

TL;DR

  • Kubernetes v1.36.0 est publie officiellement le 22 avril 2026 par la CNCF.
  • Dynamic Resource Allocation (DRA) passe GA : les pods peuvent desormais demander GPU, FPGA, accelerateurs IA avec un modele de ressources structurees.
  • NVIDIA a contribue le 14 avril un driver DRA officiel pour scheduling GPU avance, en lien direct avec l explosion des workloads IA sur Kubernetes.
  • Kubescape 4.0 et Kyverno GA arrivent en meme temps, formant une stack securite open source complete pour v1.36.

Le 22 avril 2026, la CNCF publie Kubernetes v1.36.0. Cette release marque un tournant structurel pour l ecosysteme : la Dynamic Resource Allocation (DRA) passe en General Availability, ouvrant la voie a un scheduling GPU et accelerateur IA de premiere classe. En parallele, plusieurs annonces CNCF majeures convergent : Kyverno est gradue, Kubescape 4.0 est publie, et NVIDIA offre son driver DRA a la communaute. Pour les developpeurs open source, c est la release qui redefinit ce qu est un cluster Kubernetes moderne.

KUBERNETES v1.36 - 22 AVRIL 2026DRA GADynamic ResourceAllocationNVIDIADriver DRA14 avril donKyvernoGradue CNCFPolicy engineKubescapev4.0 runtimeAI agent scanConvergence securite + GPU + policy sur la meme releasePremiere release Kubernetes majeure de l ere agentic AI

Dynamic Resource Allocation GA : la fin des workarounds GPU

Depuis des annees, les developpeurs qui souhaitaient exposer des GPU a des pods Kubernetes devaient composer avec des solutions fragiles : nvidia-device-plugin, volcano scheduler, operators specifiques. Ces contournements marchaient pour des workloads simples mais s effritaient des que les besoins devenaient plus nuances : allouer un quart de GPU, partager un GPU entre deux pods, ou reserver un GPU a la demande pour un job IA ponctuel. Avec DRA GA en v1.36, Kubernetes integre nativement le concept de ResourceClaim : un pod declare la ressource qu il veut (un GPU A100 de 40 Go de VRAM, par exemple) et le cluster s occupe de l allocation, du partage et du nettoyage.

L impact sur les projets open source qui orchestrent de l IA est majeur. Des outils comme vLLM, KServe, Ray ou JupyterHub peuvent desormais exprimer leurs besoins accelerateur en langage natif Kubernetes. La migration code est faible : ajouter un champ resourceClaims au Pod spec. La migration conceptuelle est plus profonde : repenser son scheduling pour tirer parti de l allocation dynamique.

DRA n est pas juste une feature. C est le chainon manquant qui fait de Kubernetes une plateforme de premiere classe pour l IA, sans hack ni workaround. — Clayton Coleman, CNCF Technical Oversight Committee, 22 avril 2026

NVIDIA DRA driver : le vrai sujet geopolitique open source

Le 14 avril 2026, NVIDIA a officiellement contribue son driver DRA pour GPU a la communaute Kubernetes, lors de KubeCon Europe a Amsterdam. Ce driver permet un scheduling fine-grained des GPU : fractions, MIG (Multi-Instance GPU), time-slicing. C est un tournant politique autant que technique. Pendant des annees, NVIDIA a garde ses fonctionnalites avancees dans des outils semi-proprietaires. En open-sourcant le driver DRA, NVIDIA reconnait que le standard Kubernetes est desormais incontournable, meme pour les workloads IA haut de gamme.

Pour les developpeurs open source français, c est une excellente nouvelle : il n y a plus de raison de dependre d une distribution commerciale Kubernetes pour gerer du GPU correctement. Le driver NVIDIA DRA est interoperable avec vanilla Kubernetes, k3s, k0s et microk8s. Les projets comme CrewAI ou LangGraph self-hosted beneficieront directement : leurs conteneurs pourront demander un GPU partiel plutot qu un GPU entier, divisant les couts d infra par trois ou quatre.

Notre avis d expert : DRA rend obsolete plus de la moitie des operators maison

Sur nos projets chez D-Open, nous comptons au moins quatre operators Kubernetes custom ecrits entre 2022 et 2025 pour gerer des ressources non standards. DRA GA les rend presque tous obsoletes. Nous avons commence a rediger des RFC internes pour planifier leur retrait d ici la fin 2026. C est une charge de migration, certes, mais surtout un nettoyage technique massif. Nos confreres chez Plug-Tech arrivent a la meme conclusion cote managed cloud : la convergence rend les solutions proprietaires moins necessaires.

Kyverno gradue CNCF et Kubescape 4.0 : la stack securite se referme

Deux annonces securite accompagnent v1.36 et changent la donne pour l open source. Kyverno est gradue au rang de projet CNCF top-level apres 4 ans en incubation. Pour les developpeurs, cela signifie une garantie de stabilite de l API, un support commercial possible via plusieurs vendors, et une position de standard de facto pour les policies as code dans Kubernetes. Les policies Kyverno sont desormais declinables en Kubernetes-native via les ValidatingAdmissionPolicy v1.36, qui deviennent aussi GA.

En parallele, Kubescape 4.0 ajoute le runtime threat detection : analyse eBPF en production, detection des agents IA qui tentent de contourner les policies, scan des conteneurs LLM. C est la premiere solution open source qui couvre de bout en bout l hardening initial, la verification continue, le runtime monitoring et la remediation. Pour une equipe open source qui veut une stack securite complete sans licence commerciale, Kubescape 4.0 + Kyverno + Falco est desormais une combinaison realiste et auditable.

Les autres nouveautes qui comptent pour les devs en v1.36

Au-dela des grosses annonces, plusieurs evolutions discretes valent le detour. CEL pour le validation d API : les ValidatingAdmissionPolicy permettent d exprimer des contraintes en Common Expression Language, ce qui remplace dans 80% des cas les webhooks en Go qu il fallait maintenir separement. In-place resource resize passe en beta stable : un pod peut desormais etre resize en memoire ou CPU sans restart, crucial pour les workloads sensibles a la latence. JobSet continue sa stabilisation : un SIG-Apps retrocompatible avec Job mais taille pour les workloads IA multi-pod (training LLM distribue).

Cote networking, la Gateway API entre dans une phase de consolidation : la v1.2.0 publiee la semaine passee inclut les traffic splitting avance et le support natif gRPC. Pour les applications web modernes, c est une alternative credible a Istio ou Linkerd pour les cas d usage middleweight. Pour des best practices de deploiement, notre guide Next.js en production integre desormais les recommandations Gateway API.

Notre avis d expert : v1.36 est la premiere release de l ere agentic

Jusqu a v1.35, Kubernetes etait pense pour des workloads web classiques : microservices, bases de donnees, batch. Avec v1.36, le centre de gravite bascule : DRA, GPU scheduling avance, policies ValidatingAdmission, JobSet. Ce sont toutes des fonctionnalites qui n ont de sens que pour des workloads IA. Kubernetes reconnait officiellement que son futur est l agentic AI. Pour les developpeurs open source, la bonne strategie est d accelerer sur ces technologies maintenant : les competences DRA, Kyverno avance et Kubescape runtime seront les plus recherchees en 2027. Les entreprises qui cherchent a structurer leur cybersecurite cloud peuvent aussi consulter les analyses Zero Trust de WebGuard.

Vous voulez migrer en v1.36 sans regressions ?

D-Open audite votre cluster, identifie les breaking changes, prototype la migration DRA et livre un runbook complet.

Demander un audit cluster

Plan de migration recommande pour la communaute

Pour les projets open source et les equipes platform engineering, notre recommandation en 4 temps pour adopter v1.36 tient en huit semaines. Semaines 1-2 : auditer les CRD et operators maison. Identifier ceux qui manipulent des ResourceClaims ou qui s appuient sur des webhooks d admission. Documenter les dependances. Semaines 3-4 : monter un cluster de test v1.36 avec kind ou k3d. Importer les manifests et valider les runs CI/CD. Semaines 5-6 : migrer un premier environnement staging, avec observabilité renforcee (Grafana 13 publiee la meme semaine). Semaines 7-8 : production en rolling update, cluster par cluster.

Les equipes qui utilisent une distribution commerciale (OpenShift, Rancher, EKS, GKE, AKS) doivent attendre la certification fournisseur, generalement 2 a 3 mois apres l upstream. Dans l intervalle, suivre les CVE et les backports. Pour un accompagnement structure, la creation d un agent IA open source est un terrain d experimentation ideal pour tester DRA sans risque.

FAQ

Quand sort officiellement Kubernetes v1.36 ?

Kubernetes v1.36.0 est publie officiellement le 22 avril 2026 par la CNCF. Le cycle de support standard prevoit des patches jusqu a la mi-2027, avec un support etendu possible via les distributions commerciales (Red Hat OpenShift, Rancher, Tanzu).

Qu est-ce que DRA devenu GA dans Kubernetes v1.36 ?

Dynamic Resource Allocation (DRA) passe en General Availability dans Kubernetes v1.36. DRA permet d attribuer des ressources structurees (GPU, FPGA, accelerateurs IA) aux pods via un mecanisme plus riche que les simples requests/limits. NVIDIA a contribue un driver DRA pour les GPU le 14 avril 2026.

Pourquoi Kubescape 4.0 est important pour v1.36 ?

Kubescape 4.0 apporte une detection runtime des menaces, une analyse des agents IA deployes dans les pods, et l integration d une policy engine compatible Kyverno. C est la premiere solution open source a couvrir le hardening, le scan et le runtime en un seul outil.

Faut-il migrer immediatement vers Kubernetes v1.36 ?

Non. La pratique recommandee est d attendre la premiere release patch (v1.36.1) et de realiser une migration progressive avec un cluster de test. Les breaking changes sont mineurs en v1.36 mais les admission controllers custom peuvent etre impactes par les nouveautes DRA et policy API.