Kubernetes Blog
·
Kubernetes v1.35 预览
内容提要
Kubernetes v1.35即将发布,计划移除cgroup v1支持和kube-proxy的ipvs模式,推荐使用cgroup v2和nftables。新特性包括节点声明、Pod资源在线更新、Pod证书、数值污点和用户命名空间,旨在提升集群的稳定性和安全性。
关键要点
-
Kubernetes v1.35即将发布,计划移除cgroup v1支持和kube-proxy的ipvs模式,推荐使用cgroup v2和nftables。
-
cgroup v1支持将在v1.35中移除,影响使用旧版Linux的集群管理员,需迁移到支持cgroup v2的系统。
-
kube-proxy的ipvs模式将在v1.35中被弃用,推荐使用nftables以简化代码库。
-
Kubernetes v1.35是最后一个支持containerd v1.X的版本,用户需在升级前切换到containerd 2.0或更高版本。
-
节点声明特性将引入标准机制,帮助节点声明其支持的Kubernetes特性,提升调度准确性。
-
Pod资源的在线更新功能将正式发布,允许用户在不重启Pod的情况下调整CPU和内存资源。
-
Pod证书功能将简化微服务之间的身份验证,支持自动证书轮换。
-
数值污点功能将支持数值比较操作符,增强污点和容忍度的灵活性。
-
用户命名空间功能将允许容器以非特权用户身份运行,降低安全风险。
-
支持将OCI镜像作为卷挂载,简化数据分发和管理。
延伸解读
cgroup v1的移除影响
Kubernetes v1.35将移除对cgroup v1的支持,这对使用旧版Linux的集群管理员影响较大。管理员需要确保其节点迁移到支持cgroup v2的系统,以避免kubelet无法启动的问题。此举旨在提升资源控制的一致性和现代化,建议尽早进行系统升级。
kube-proxy ipvs模式的弃用
v1.35版本中,kube-proxy的ipvs模式将被弃用,推荐使用nftables。这一变化旨在简化代码库,减少技术债务。对于依赖ipvs模式的用户,需提前评估迁移方案,以确保服务的连续性和性能。
Pod资源在线更新的优势
Kubernetes v1.35将正式支持Pod资源的在线更新,允许用户在不重启Pod的情况下调整CPU和内存。这一功能将显著提高资源管理的灵活性,尤其对状态服务和批处理应用有重要意义,减少了因重启带来的工作负载中断。
用户命名空间的安全性提升
引入用户命名空间功能后,容器可以以非特权用户身份运行,从而降低安全风险。这一改进有助于防止容器突破导致的主机安全问题,尤其是在多租户环境中,建议用户关注这一特性以增强集群的安全性。
延伸问答
Kubernetes v1.35中有哪些重要的新特性?
Kubernetes v1.35引入了节点声明、Pod资源在线更新、Pod证书、数值污点和用户命名空间等新特性。
Kubernetes v1.35将移除哪些功能?
Kubernetes v1.35计划移除cgroup v1支持和kube-proxy的ipvs模式。
如何在Kubernetes v1.35中更新Pod的资源?
Kubernetes v1.35支持在线更新Pod的CPU和内存资源,无需重启Pod。
Kubernetes v1.35中用户命名空间的作用是什么?
用户命名空间允许容器以非特权用户身份运行,从而降低安全风险。
Kubernetes v1.35中数值污点的功能有什么新变化?
数值污点功能支持数值比较操作符,增强了污点和容忍度的灵活性。
Kubernetes v1.35的发布计划是什么时候?
Kubernetes v1.35计划于2025年12月17日发布。
