撰写于 2026

  • Kubernetes v1.36:无法删除的准入策略

    借由 Anish Ramasekar (Microsoft), Benjamin Elder (Google) | 2026.05.04 在 博客

    如果你曾尝试在一组 Kubernetes 集群上强制执行安全策略,你可能遇到过一个令人沮丧的先有鸡还是先有蛋的问题。 你的准入策略是 API 对象,这意味着它们在有人创建之前不存在,并且任何具有适当权限的人都可以删除它们。 在集群引导期间,总是存在一个窗口,此时你的策略尚未生效,并且无法阻止特权用户删除它们。 Kubernetes v1.36 引入了一个 Alpha 特性来解决这个问题: 基于清单的准入控制。它允许你将准入 Webhook 和基于 CEL 的策略定义为磁盘上的文件, 由 API …

    更多

  • Kubernetes v1.36:Pod 级资源管理器(Alpha)

    借由 Kevin Torres Martinez (Google) | 2026.05.01 在 博客

    Kubernetes v1.36 将 Pod 级资源管理器 作为 Alpha 特性引入,为对性能敏感的工作负载带来了一种更灵活、更强大的资源管理模型。 这一增强将 kubelet 的拓扑管理器(Topology Manager)、CPU 管理器和内存管理器扩展为支持 Pod 级别资源规约 (.spec.resources),使它们从严格按容器分配的模型演进为以 Pod 为中心的模型。 为什么需要 Pod 级资源管理器? 当运行机器学习(ML)训练、高频交易应用或低延迟数据库这类对性能要求严苛的 …

    更多

  • Kubernetes v1.36:Pod 级别资源的原地垂直扩缩容升级至 Beta 版本

    借由 Narang Dixita Sohanlal (Google) | 2026.04.30 在 博客

    在 v1.34 中 Pod 级别资源升级到 Beta 版本,以及 v1.35 中原地 Pod 垂直扩缩容达到正式可用(GA)之后, Kubernetes 社区非常高兴地宣布:Pod 级别资源的原地垂直扩缩容已在 v1.36 中升级到 Beta 版本! 此特性现在通过 InPlacePodLevelResourcesVerticalScaling 特性门控默认启用。 它允许用户更新运行中 Pod 的聚合 Pod 资源预算(.spec.resources),通常不需要容器重启。 为什么需要 Pod …

    更多

  • Kubernetes v1.36:借助 Memory QoS 实现分层内存保护

    借由 Qi Wang (Red Hat), Sohan Kunkerkar (Red Hat) | 2026.04.29 在 博客

    我谨代表 SIG Node 宣布 Kubernetes v1.36 中 Memory QoS 特性(Alpha)的更新。 Memory QoS 使用 cgroup v2 的内存控制器,为内核提供更好的指引来处理容器内存。 它最早在 v1.22 中引入,并在 v1.27 中更新。 在 Kubernetes v1.36 中,我们引入了以下内容:可选启用的内存预留、基于 QoS 类的分层保护、 可观测性指标,以及针对 memory.high 的内核版本告警。 v1.36 …

    更多

  • Kubernetes v1.36:控制器的陈旧性缓解和可观测性

    借由 Michael Aspinwall (Google) | 2026.04.28 在 博客

    Kubernetes 控制器中的陈旧性是一个影响许多控制器的问题,它可能以微妙的方式影响控制器行为。 通常直到为时已晚,当生产环境中的控制器已经采取了错误操作时,由于控制器作者做出的某些潜在假设, 陈旧性才被发现是一个问题。 陈旧性导致的一些问题包括控制器采取不正确的操作、控制器在应该采取行动时没有采取行动, 以及控制器采取行动的时间过长。 我很高兴地宣布,Kubernetes v1.36 增加了有助于缓解控制器陈旧性并提供更好的控制器行为可观测性的新特性。 什么是陈旧性? 控制器中的陈旧性来 …

    更多

  • Kubernetes v1.36:Job 挂起时可变更的容器资源(Beta)

    借由 Kevin Hannon (Red Hat) | 2026.04.27 在 博客

    Kubernetes v1.36 将“在挂起 Job 的 Pod 模板中修改容器资源请求和限制”的能力提升到了 Beta。 这一特性首次在 v1.35 中以 Alpha 形式引入,允许队列控制器和集群管理员在 Job 处于挂起状态时, 在其启动或恢复运行之前,调整 CPU、内存、GPU 以及扩展资源的配置。 为什么挂起 Job 的 Pod 模板需要可变更资源? 批处理和机器学习工作负载在创建 Job 时,其资源需求往往还无法精确确定。 最优的资源分配取决于当前集群容量、队列优先级,以及 GPU …

    更多

  • Kubernetes v1.36:细粒度 kubelet API 鉴权正式发布(GA)

    借由 Vinayak Goyal (Google) | 2026.04.24 在 博客

    我谨代表 Kubernetes SIG Auth 和 SIG Node 宣布, 细粒度 kubelet API 鉴权已在 Kubernetes v1.36 中正式发布(GA)! KubeletFineGrainedAuthz 特性门控在 Kubernetes v1.32 中作为可选启用的 Alpha 特性引入,并在 v1.33 中进入 Beta 阶段(默认启用)。 如今,该特性已正式发布,且特性门控被锁定为启用状态。 此特性可针对 kubelet 的 HTTPS API 提供更精确、遵循最小权 …

    更多

  • Kubernetes v1.36:用户命名空间终于正式可用

    借由 Rodrigo Campos Catelin (Amutable), Giuseppe Scrivano (Red Hat) | 2026.04.23 在 博客

    经过数年的开发,Kubernetes 中的用户命名空间(User Namespaces)支持已随着 v1.36 发布进入正式发布(GA)阶段。 这是一个仅适用于 Linux 的特性。 对于从事底层容器运行时(Container Runtimes)和 rootless 技术的我们来说, 这是一个期待已久的里程碑。 我们终于走到了可以将 rootless 安全隔离用于 Kubernetes 工作负载的阶段。 这一特性还开启了一种关键模式:让工作负载在拥有特权的同时,依然被限制在用户命名空间内。 当 …

    更多

  • SELinux 卷标签变更进入 GA 阶段(以及 v1.37 中可能的影响)

    借由 Jan Šafránek (Red Hat)、 Swathi Rao (Independent) | 2026.04.22 在 博客

    如果你在 Linux 上运行带有 SELinux 强制模式的 Kubernetes, 请提前规划:未来某个版本(预计为 v1.37)预计将默认启用 SELinuxMount 特性门控。 这会使大多数工作负载的卷设置更快,但它可能会破坏以微妙方式仍依赖于旧版递归重新标记模型的应用程序 (例如,在同一节点上的特权和非特权 Pod 之间共享一个卷)。 Kubernetes v1.36 是审计集群、修复或选择退出此更改的正确版本。 如果你的节点不使用 SELinux,则没有任何变化: …

    更多

  • Kubernetes v1.36:ハル (Haru)

    借由 Kubernetes v1.36 发布团队 | 2026.04.22 在 博客

    编辑:Chad M. Crowell、Kirti Goyal、Sophia Ugochukwu、Swathi Rao、Utkarsh Umre 与之前的版本类似,Kubernetes v1.36 的发布引入了新的稳定(GA)、Beta 和 Alpha 特性。 持续交付高质量版本,凸显了我们开发周期的韧性,以及社区充满活力的支持。 此版本包含 70 项增强。其中,18 项已进阶至稳定阶段,25 项进入 Beta 阶段,25 项进阶至 Alpha 阶段。 本次发布还包含一些弃用与移除内容,请务必阅 …

    更多