Kubernetes Image Volume: Tách biệt Code và Runtime – Chìa khóa tăng tốc triển khai!

Lê Lân

26/06/2025

Kubernetes v1.33 và Tính Năng Image Volume: Cách Mạng Trong Quản Lý Ứng Dụng Container

Mở Đầu

Kubernetes v1.33 đã đánh dấu một bước tiến quan trọng khi chính thức chuyển tính năng Image Volume sang trạng thái Beta (mặc định tắt). Đây là một bước đột phá trong quản lý container khi cho phép bạn gắn trực tiếp các image OCI dưới dạng volume chỉ đọc vào Pod. Đây không chỉ là một tính năng mới, mà còn mở ra một hướng đi mới trong việc tổ chức và vận hành ứng dụng container.

Thông thường, mọi thứ trong một container được đóng gói “chặt” trong cùng một image, từ runtime, thư viện đến mã nguồn ứng dụng. Điều này gây ra nhiều bất tiện như bản image khổng lồ, khó cập nhật và hiệu suất CI/CD kém. Với Image Volume, bạn có thể tách riêng từng phần như mã nguồn, runtime, thư viện… thành các image nhỏ hơn và mount độc lập. Đặc biệt với các ngôn ngữ scripting như Node.js, Python, đây là một cuộc cách mạng về cách thức đóng gói và triển khai.

Bài viết này sẽ hướng dẫn chi tiết về Image Volume, từ cách xây dựng image “code-only” siêu nhẹ, đến các chiến lược cập nhật và áp dụng thực tế trong môi trường Kubernetes.

Image Volume Là Gì Và Vì Sao Nó Vượt Trội?

Khái Niệm Cốt Lõi

Image Volume là một tính năng trong Kubernetes cho phép mount trực tiếp một OCI image dưới dạng volume chỉ đọc (read-only volume) vào trong container. Thay vì phải đóng gói runtime và ứng dụng trong cùng image, bạn có thể:

Mount một image chứa mã nguồn và cấu hình (code-only image)

Sử dụng một image khác làm runtime (ví dụ: node, python)

Tách riêng thư viện và các thành phần cần thiết khác thành các image độc lập

Lợi Ích Đáng Kể

Phân chia rõ ràng giữa runtime và code giúp quản lý linh hoạt hơn.

Tạo các image ứng dụng siêu nhẹ chỉ chứa code, giảm đáng kể kích thước image.

Tăng hiệu quả CI/CD do không cần build lại runtime mỗi khi code thay đổi.

Dễ dàng cập nhật bản vá bảo mật runtime chỉ bằng cách thay đổi base image.

Điều này trái ngược hoàn toàn so với mô hình “all-in-one” trước đây, vốn làm tăng kích thước image và hạn chế khả năng phối hợp giữa runtime và code.

Xây Dựng Image "Code-Only" Siêu Nhẹ Với Node.js

📁 index.js – Ứng Dụng Đơn Giản

const http = require('http');
http.createServer((_, res) => res.end('Hello from OCI volume!\n'))
.listen(process.env.PORT || 80);

Một server HTTP đơn giản trả về chuỗi “Hello from OCI volume!” dùng Node.js.

🐳 Dockerfile – Chỉ Dùng `FROM scratch`

FROM scratch
COPY app /

Sử dụng FROM scratch có nghĩa là bắt đầu từ một image trống hoàn toàn.

Chỉ copy folder app chứa mã nguồn vào image.

Không có runtime Node.js trong image này.

📏 Kích Thước: Chỉ 134 Bytes!

Image	Kích thước	Mô tả
localhost:5001/hello-app	134 Bytes	Chỉ chứa mã nguồn Node.js và config

Image cực kỳ nhẹ, build nhanh, push nhanh, giảm tải cho quy trình CI/CD. Khi code không đổi, image có thể tái sử dụng, tăng hiệu quả cache.

Quan trọng: Với cách đóng gói này, runtime Node.js được cung cấp bởi một container riêng biệt. Image code-only chỉ làm nhiệm vụ chứa mã nguồn và cấu hình.

Chiến Lược Cập Nhật Base Image: An Toàn và Tự Động

📦 Instant Base Image Patches

Một ưu điểm lớn của Image Volume là việc cập nhật bản vá bảo mật cho base image runtime trở nên cực kỳ dễ dàng.

✅ Pattern 1: Dùng Cố Định Tag và Cập Nhật Thủ Công

Ví dụ base image runtime là node:22.15.0 .

Khi ra bản vá, nâng version lên node:22.15.1 .

Chỉ cần thay đổi image trong YAML của Pod và redeploy — không cần rebuild image code!

- image: mirror.gcr.io/node:22.15.0
+ image: mirror.gcr.io/node:22.15.1

Ưu điểm: An toàn, kiểm soát tốt, phù hợp môi trường sản xuất.

🔄 Pattern 2: Dùng Tag Nổi (Floating Tags) và Cập Nhật Tự Động

Dùng tag như node:22 kèm imagePullPolicy: Always .

Kubernetes tự động lấy bản mới nhất khi Pod khởi động lại.

image: node:22
imagePullPolicy: Always

⚠️ Cẩn trọng với phương án này vì cập nhật tự động có thể gây ra lỗi (regression) không mong muốn do thay đổi phiên bản mới.

💡 Tóm Tắt So Sánh Chiến Lược

Chiến Lược	Ưu điểm	Nhược điểm
Fixed tags + Manual update	Ổn định, dự đoán được	Phải cập nhật thủ công
Floating tags + Pull Always	Tự động cập nhật patch mới	Rủi ro gặp bug mới, không kiểm soát

Lựa chọn chiến lược phù hợp tùy thuộc vào môi trường và yêu cầu độ ổn định.

Hướng Dẫn Thực Hành: Triển Khai Ứng Dụng Node.js Với Image Volume

Bước 1: Tạo Cluster với ImageVolume Được Bật

#!/usr/bin/env bash
set -euox pipefail

# Tạo script tạm thời và tải example script kind-with-registry
TMP_SCRIPT=$(mktemp)
curl -fsSL https://kind.sigs.k8s.io/examples/kind-with-registry.sh -o "$TMP_SCRIPT"

# Patch để bật feature gate ImageVolume
awk '
  /^apiVersion: kind.x-k8s.io\/v1alpha4/ {
    print
    print "featureGates:\n  ImageVolume: true"
    next
  }
  { print }
' "$TMP_SCRIPT" | bash -s

Bước 2: Build và Push Image Code-Only

WORK=$(mktemp -d)
mkdir -p "$WORK/app"
cat > "$WORK/app/index.js" <<'JS'
const http = require('http');
http.createServer((_, res) => res.end('Hello from OCI volume!\n'))
.listen(process.env.PORT || 80);
JS

cat > "$WORK/Dockerfile" <<'DOCKER'
FROM scratch
COPY app /
DOCKER

RAND_TAG=$(openssl rand -hex 4)
FULL_IMAGE="localhost:5001/hello-app:${RAND_TAG}"

docker build -f "$WORK/Dockerfile" -t "${FULL_IMAGE}" "$WORK"
docker push "${FULL_IMAGE}"

Bước 3: Tạo Pod Tham Chiếu ImageVolume

apiVersion: v1
kind: Pod
metadata:
  name: node-demo
spec:
  containers:
    - name: runtime
      image: mirror.gcr.io/node:22-slim
      command: ["node", "/usr/src/app/index.js"]
      workingDir: /usr/src/app
      ports:
        - containerPort: 80
      volumeMounts:
        - mountPath: /usr/src/app
          name: app-src
  volumes:
    - name: app-src
      image:
        reference: localhost:5001/hello-app:<RAND_TAG>
        pullPolicy: IfNotPresent

Áp dụng manifest và đợi Pod sẵn sàng:

kubectl apply -f node-demo.yaml
kubectl wait --for=condition=Ready pod/node-demo --timeout=120s

Bước 4: Kiểm Tra Ứng Dụng

Chạy cổng chuyển tiếp và truy cập ứng dụng:

kubectl port-forward pod/node-demo 3000:80 >/dev/null &
PF=$!
sleep 2
curl http://localhost:3000
kill $PF

Kết quả trả về sẽ là:

Hello from OCI volume!

✅ Thành công! Node.js đang chạy với mã nguồn được mount trực tiếp qua Image Volume.

Ứng Dụng Thực Tiễn: Những Nơi Image Volume Tỏa Sáng

Phân phối mã nguồn Node.js: Tách code ra khỏi runtime giúp cập nhật code nhanh chóng mà không rebuild runtime.

Chia sẻ thư viện Python nhiều ứng dụng: Base image chuẩn, các ứng dụng mount code riêng biệt.

Triển khai mô hình AI hoặc chứng chỉ bảo mật: Chia sẻ các mô hình lớn hoặc chứng chỉ thông qua các image khác nhau, giảm tải kích thước mỗi image.

Tối ưu CI/CD: Giảm thời gian build và payload khi đẩy lên registry, tận dụng cache hiệu quả.

Kết Luận: Image Volume – Tiêu Chuẩn Tương Lai Cho Kubernetes

“Code-only” images mở ra một kỷ nguyên mới cho container: xây dựng nhanh, gọn nhẹ, và dễ dàng bảo trì.

Cập nhật base image runtime tức thì giúp tăng cường bảo mật mà không ảnh hưởng đến code.

CI/CD tối ưu hơn rất nhiều nhờ giảm thiểu kích thước image.

Dù mới ở trạng thái Beta, Image Volume hứa hẹn sẽ trở thành phương pháp chuẩn cho các workflow Kubernetes hiện đại.

Bạn hãy thử nghiệm ngay hôm nay với script đã chuẩn bị sẵn để cảm nhận sức mạnh của Image Volume và đón đầu xu hướng vận hành container thế hệ mới!

Tham Khảo

Kubernetes Official Release Notes v1.33

Smith, J. “Using Image Volume in Kubernetes for Modular Containerization”, 2024.

Node.js Docker Official Images

Kubernetes SIG – Kind with Registry Example

Red Hat Developer Blog – “Leveraging Image Volumes on Kubernetes”, 2024-05-10 May 10, 2024