云原生计算基金会(CNCF)上个月发布了 Kubernetes 1.34 版本,命名为“风与意志”(Of Wind & Will,O’ WaW)。该版本引入了分布式资源分配和 kubelet 与 API 服务器的生产级追踪等特性。
1.34 版本的关键亮点之一是引入了增强的集群内流量路由,为网络运营商提供了表达流量应如何路由到服务端点的能力。
Kubernetes 1.34 中的 Alpha 特性包括KYAML,这是一种简化的 YAML 子集,旨在减轻 Kubernetes 配置中常见的 YAML 相关问题,如空格敏感性和类型强制错误。它的目的是提高 Kubernetes 清单的可读性和可维护性。
在 1.34 版本中,用户可以通过指定 KYAML 作为输出格式来查看资源的清单。例如,使用kubectl get pods -o kyaml来查看默认命名空间中的 pod。
另一个进入 Alpha 阶段的特性是内置(built-in)机制,用于管理和通过PodCertificateRequests请求pod的X.509证书。以前,ServiceAccount token 被用来对 pod 进行身份验证以连接到 API 服务器,这缺乏双向 TLS(mutual TLS,mTLS)的支持,并在与需要基于证书进行身份验证的其他系统进行交互时会带来一定挑战。
Kubernetes 1.34 为 kubelet 镜像凭证提供者带来了ServiceAccount token的 Beta 支持。这一增强的安全特性使用户能够通过使用短期 token,避免在 Kubernetes secrets 中存储用于从私有仓库拉取镜像所需的凭证。
通过使用短期 token 并减少在 Kubernetes secrets 密钥中存储凭证的需求,这一 Beta 特性加强了集群安全性并简化了私有仓库的认证。
kubelet 的生产级追踪功能在 1.34 版本中升级为稳定状态。这一功能通过使用OpenTelemetry来检测 kubelet 的关键操作,为运营商提供了更多可见性,以便更快地发现延迟和错误。类似的追踪能力也已添加到了API服务器,为控制平面和节点的事件提供端到端的可见性。
此外,有序命名空间删除在 1.34 版本中升级为稳定或普遍可用,确保在删除资源时遵循逻辑和安全依赖关系。
以前,在命名空间中资源的非确定性删除增加了漏洞和可靠性风险,例如CVE-2024-7598,其中网络策略可能会在 pod 之前被删除,这会导致在短暂的时间内,pod 仍在运行但网络策略未被执行。这可能允许被破坏的 pod 绕过网络策略强制执行的网络限制。
根据发布说明,Kubernetes 1.34 版本包含 58 项增强功能,其中 13 项进入 Alpha 状态,22 项升级到 Beta 状态,23 项成为普遍可用或稳定状态,还有一些弃用的特性。
有关 Kubernetes 1.34 版本的详细信息,用户可以参考官方发布说明和文档,以全面了解的增强功能和弃用情况,或观看 CNCF webinar 的发布团队录像。
下一个版本是 1.35,预计将在 2025 年 12 月发布,这将是本年度的最后一个版本。
原文链接:
Kubernetes 1.34 Released with KYAML, Traffic Routing Controls, and Improved Observability
