撰写于 2026

  • Kubernetes v1.36:Pod 级别资源的原地垂直扩缩容升级至 Beta 版本

    借由 Narang Dixita Sohanlal (Google) | 2026.04.30 在 博客

    在 v1.34 中 Pod 级别资源升级到 Beta 版本,以及 v1.35 中原地 Pod 垂直扩缩容达到正式可用(GA)之后, Kubernetes 社区非常高兴地宣布:Pod 级别资源的原地垂直扩缩容已在 v1.36 中升级到 Beta 版本! 此特性现在通过 InPlacePodLevelResourcesVerticalScaling 特性门控默认启用。 它允许用户更新运行中 Pod 的聚合 Pod 资源预算(.spec.resources),通常不需要容器重启。 为什么需要 Pod …

    更多

  • Kubernetes v1.36:借助 Memory QoS 实现分层内存保护

    借由 Qi Wang (Red Hat), Sohan Kunkerkar (Red Hat) | 2026.04.29 在 博客

    我谨代表 SIG Node 宣布 Kubernetes v1.36 中 Memory QoS 特性(Alpha)的更新。 Memory QoS 使用 cgroup v2 的内存控制器,为内核提供更好的指引来处理容器内存。 它最早在 v1.22 中引入,并在 v1.27 中更新。 在 Kubernetes v1.36 中,我们引入了以下内容:可选启用的内存预留、基于 QoS 类的分层保护、 可观测性指标,以及针对 memory.high 的内核版本告警。 v1.36 …

    更多

  • Kubernetes v1.36:细粒度 kubelet API 鉴权正式发布(GA)

    借由 Vinayak Goyal (Google) | 2026.04.24 在 博客

    我谨代表 Kubernetes SIG Auth 和 SIG Node 宣布, 细粒度 kubelet API 鉴权已在 Kubernetes v1.36 中正式发布(GA)! KubeletFineGrainedAuthz 特性门控在 Kubernetes v1.32 中作为可选启用的 Alpha 特性引入,并在 v1.33 中进入 Beta 阶段(默认启用)。 如今,该特性已正式发布,且特性门控被锁定为启用状态。 此特性可针对 kubelet 的 HTTPS API 提供更精确、遵循最小权 …

    更多

  • Kubernetes v1.36:用户命名空间终于正式可用

    借由 Rodrigo Campos Catelin (Amutable), Giuseppe Scrivano (Red Hat) | 2026.04.23 在 博客

    经过数年的开发,Kubernetes 中的用户命名空间(User Namespaces)支持已随着 v1.36 发布进入正式发布(GA)阶段。 这是一个仅适用于 Linux 的特性。 对于从事底层容器运行时(Container Runtimes)和 rootless 技术的我们来说, 这是一个期待已久的里程碑。 我们终于走到了可以将 rootless 安全隔离用于 Kubernetes 工作负载的阶段。 这一特性还开启了一种关键模式:让工作负载在拥有特权的同时,依然被限制在用户命名空间内。 当 …

    更多

  • SELinux 卷标签变更进入 GA 阶段(以及 v1.37 中可能的影响)

    借由 Jan Šafránek (Red Hat)、 Swathi Rao (Independent) | 2026.04.22 在 博客

    如果你在 Linux 上运行带有 SELinux 强制模式的 Kubernetes, 请提前规划:未来某个版本(预计为 v1.37)预计将默认启用 SELinuxMount 特性门控。 这会使大多数工作负载的卷设置更快,但它可能会破坏以微妙方式仍依赖于旧版递归重新标记模型的应用程序 (例如,在同一节点上的特权和非特权 Pod 之间共享一个卷)。 Kubernetes v1.36 是审计集群、修复或选择退出此更改的正确版本。 如果你的节点不使用 SELinux,则没有任何变化: …

    更多

  • Kubernetes v1.36:ハル (Haru)

    借由 Kubernetes v1.36 发布团队 | 2026.04.22 在 博客

    编辑:Chad M. Crowell、Kirti Goyal、Sophia Ugochukwu、Swathi Rao、Utkarsh Umre 与之前的版本类似,Kubernetes v1.36 的发布引入了新的稳定(GA)、Beta 和 Alpha 特性。 持续交付高质量版本,凸显了我们开发周期的韧性,以及社区充满活力的支持。 此版本包含 70 项增强。其中,18 项已进阶至稳定阶段,25 项进入 Beta 阶段,25 项进阶至 Alpha 阶段。 本次发布还包含一些弃用与移除内容,请务必阅 …

    更多

  • Kubernetes v1.36 抢先一览

    借由 Chad Crowell, Kirti Goyal, Sophia Ugochukwu, Swathi Rao, Utkarsh Umre | 2026.03.30 在 博客

    Kubernetes v1.36 将于 2026 年 4 月底发布。 本次发布将包含移除和弃用项,并带来数量可观的增强功能。 以下是我们在这个发布周期中最期待的一些特性。 请注意,本文信息反映的是 v1.36 开发的当前状态,发布前仍可能发生变化。 Kubernetes API 的移除与弃用流程 Kubernetes 项目针对功能有一套文档完善的弃用策略。 该策略规定,稳定版 API 只有在有新的稳定替代版本时才会被弃用,并且 API 在每个稳定级别都有最短生命周期。 被弃用的 API 会被标 …

    更多

  • Ingress2Gateway 1.0 正式发布:通往 Gateway API 的途径

    借由 Beka Modebadze (Google), Steven Jin (Microsoft) | 2026.03.20 在 博客

    随着 Ingress-NGINX 计划于 2026 年 3 月正式退役,Kubernetes 网络图景正处于一个转折点。 对于大多数组织而言,问题不在于是否迁移到 Gateway API,而在于如何安全地完成迁移。 从 Ingress 迁移到 Gateway API 是 API 设计的根本性转变。 Gateway API 提供了一个模块化、可扩展的 API,并对 Kubernetes 原生的基于角色的访问控制(RBAC)提供了强大的支持。 相反,Ingress API 较为简单, …

    更多

  • 在 Kubernetes 上使用 Agent Sandbox 运行智能体

    借由 Janet Kuo Justin Santa Barbara | 2026.03.20 在 博客

    人工智能领域正经历着一场巨大的架构变革。 在生成式人工智能的早期,与模型交互通常被视为一个瞬态的、无状态的函数调用:一个启动、执行可能仅 50 毫秒便终止的请求。 如今,人工智能 2.0 正在取代人工智能 1.0。 人工智能生态系统正从短暂、孤立的任务转向部署多个持续运行的、协同工作的 AI 智能体。 这些自主智能体需要维护上下文信息、使用外部工具、编写和执行代码,并在较长时间内相互通信。 当平台工程团队寻找合适的架构来托管这些新型 AI 工作负载时, Kubernetes 脱颖而出,成为自然 …

    更多

  • 无形的重写:现代化 Kubernetes 镜像推广工具

    借由 Sascha Grunert (Red Hat) | 2026.03.17 在 博客

    你从 registry.k8s.io 拉取的每个容器镜像都是通过 kpromo(Kubernetes 镜像推广工具)完成的。 它将镜像从临时仓库复制到生产环境,使用 cosign 进行签名, 在 20 多个区域镜像间复制签名,并生成 SLSA 来源证明。 如果这个工具出问题,Kubernetes 就无法发布。在过去几周里,我们从零开始重写了它的核心, 删除了 20% 的代码库,使其速度大幅提升,而没有人注意到。这正是我们的目的。 一点历史 镜像推广工具始于 2018 年末,是由 Linus …

    更多