本周,Kubernetes 技术监督委员会 (TOC) 发布了最新 Kubernetes 1.25 更新,增加了 40 多项增强功能。
Kubernetes 1.25 中提供的大部分增强功能涉及以前处于 beta 到稳定状态的功能,这意味着它们很快就会进入平台的精选发行版。这些功能包括将当前的 PodSecurityPod 模块替换为更易于访问的临时容器的 pod 安全准入模块,这些模块旨在在 pod 上存在有限的时间,以简化集群的故障排除。
曾担任 Kubernetes 1.25 发布团队负责人的 Google 软件工程师 Cici Huang 表示,随着用于管理和保护 Kubernetes 集群的流程不断发展和成熟,Pod 安全准入功能是该版本中最关键的元素之一。
一种本地临时存储容量隔离功能,可用于限制特定 pod 对存储资源的消耗以及容器存储接口 (CSI) 功能,称为 CSI Ephemeral Volume,并允许直接为临时指定 pod 中的卷用例,现在也很稳定。
其他逐渐稳定的功能包括将网络策略扩展到一系列特定端口,并支持 cgroups v2 应用程序编程接口 (API),该接口已在 Kubernetes 的某些发行版中用于限制资源分配。
该版本还包括一些从 alpha 到 beta 的功能。 CRD 验证表达式语言可以声明自定义资源如何使用通用表达式语言 (CEL) 进行验证,并且提升的服务器端未知字段验证功能允许在检测到未知字段时在 API 服务器上选择性地触发架构验证被提升。
在 alpha 功能方面,KMS v2alpha1 API 增加了性能、轮换和可观察性改进,包括加密静态数据。
在此版本中,TOC 明确解决了随着 Kubernetes 的进步而趋于滞后的两个领域:存储和安全。最初的预期是 Kubernetes 集群上只会部署无状态应用程序,因此存储管理能力最初并没有得到太多关注。
随着平台的发展,安全性似乎也总是事后考虑。尽管最近对安全功能的更新一直在稳步进行,但早期 Kubernetes 发布团队的重点主要是性能和关键 API 的稳定性。
在将这些功能整合到平台的各种发行版中后,尚不清楚这些功能是否会推动 Kubernetes 的进一步采用。然而,随着存储 API 变得更加强大,将有更多机会在平台上部署更广泛的工作负载。与此同时,随着越来越多的组织继续专注于锁定其软件供应链,增强的安全性应该有助于缓解网络安全问题。
