Kubernetes Blog
·
Kubernetes v1.36 预览
内容提要
Kubernetes v1.36计划于2026年4月发布,包含多个新特性和弃用功能。主要更新包括外部IP字段的弃用、gitRepo卷插件的永久禁用、SELinux卷挂载的改进,以及支持外部签名的ServiceAccount令牌以提升安全性。此外,新版本扩展了动态资源分配,支持可分区设备,提高集群效率。
关键要点
-
Kubernetes v1.36计划于2026年4月发布,包含多个新特性和弃用功能。
-
外部IP字段将被弃用,导致用户失去快速路由外部IP到服务的方式。
-
gitRepo卷插件自v1.36起永久禁用,以防止安全漏洞。
-
SELinux卷挂载的改进将提高性能,减少Pod启动延迟。
-
支持外部签名的ServiceAccount令牌将提升安全性,简化密钥管理。
-
动态资源分配扩展支持可分区设备,提高集群效率。
延伸解读
外部IP字段的弃用影响
Kubernetes v1.36将弃用外部IP字段,这意味着用户将失去通过该字段快速路由外部IP到服务的能力。此变更可能会影响依赖于外部IP进行流量管理的应用,用户需考虑转向LoadBalancer或NodePort等替代方案,以确保服务的可用性和安全性。
gitRepo插件的永久禁用
自v1.36起,gitRepo卷插件将被永久禁用,旨在防止安全漏洞。依赖于该插件的现有工作负载需要尽快迁移到其他支持的解决方案,如init容器或外部git-sync工具,以避免潜在的安全风险。
SELinux卷挂载改进的注意事项
Kubernetes v1.36对SELinux卷挂载进行了改进,提升了性能并减少了Pod启动延迟。然而,开发者需谨慎设置seLinuxChangePolicy字段,以避免在共享卷时出现权限问题。正确的配置对于确保系统安全和稳定至关重要。
动态资源分配的扩展
新版本扩展了动态资源分配,支持可分区设备,允许将高成本资源如GPU分割为多个逻辑单元。这一改进将提高集群效率,帮助组织更好地利用基础设施,尤其是在需要多个工作负载共享同一硬件时。
延伸问答
Kubernetes v1.36的主要新特性是什么?
Kubernetes v1.36的主要新特性包括外部IP字段的弃用、gitRepo卷插件的永久禁用、SELinux卷挂载的改进,以及支持外部签名的ServiceAccount令牌。
外部IP字段的弃用会带来什么影响?
外部IP字段的弃用将导致用户失去快速路由外部IP到服务的方式,并可能引发安全问题。
为什么gitRepo卷插件在v1.36中被永久禁用?
gitRepo卷插件被永久禁用是为了防止安全漏洞,避免攻击者通过该插件以root身份在节点上运行代码。
SELinux卷挂载的改进有什么好处?
SELinux卷挂载的改进提高了性能,减少了Pod启动延迟,并确保在挂载时应用正确的SELinux标签。
Kubernetes v1.36如何提升ServiceAccount令牌的安全性?
Kubernetes v1.36支持外部签名的ServiceAccount令牌,允许集群与外部密钥管理系统集成,从而提升安全性和简化密钥管理。
动态资源分配在v1.36中有哪些新功能?
动态资源分配在v1.36中扩展了对可分区设备的支持,允许将单个硬件加速器分割成多个逻辑单元,以提高集群效率。
