北京
Kubernetes 1.36的發布打破了慣例。這個版本代號"Haru"——日語中同時包含春天、晴空、遠方三重含義。發布Logo重新演繹了葛飾北齋的《紅富士》,Kubernetes的舵輪懸浮于山巔之上,書法題字寫著"翱翔晴空,朝向明日朝陽"。
詩意背后,這是近年來最具實質意義的版本之一。不是因為推出了十幾項Alpha新功能,而是因為它終于讓醞釀多年的功能畢業,淘汰了早該廢棄的舊機制,并給了平臺工程師真正的工具,不用再拿膠帶修補集群。
核心變化一覽:Mutating Admission Policies正式GA,Webhooks進入倒計時;User Namespaces歷經四年Alpha后終于穩定;Ingress NGINX正式退役(非棄用,是退役);DRA真正成熟,支持GPU調度;OCI卷讓ML模型分發不再尷尬;HPA支持縮容至零;gitRepo卷類型被刪除——八年前就預告過這一天。
如果你在生產環境跑過Admission Webhooks,你知道那是什么滋味:每個API請求都要打到集群外的Webhook服務器,需要獨立部署、獨立TLS、獨立值班。一旦它宕機——而它會宕機的——Pod調度直接停止,不是降級,是停止。
作者曾花一周時間追查一條卡住的CI/CD流水線:部署隨機失敗,日志嘈雜無用。根因是OPA Gatekeeper的Webhook在高負載下靜默丟棄Pod創建請求。整整一周,只為一個被丟棄的請求。
這類問題在1.36后消失。MutatingAdmissionPolicies將變更邏輯寫成CEL表達式,在API服務器內聯執行。沒有外部服務器,沒有TLS證書輪換,沒有凌晨3點因為Webhook Pod被驅逐而報警。定義為Kubernetes對象,用Git版本控制,走正常的GitOps流程。
限制依然存在:如果變更邏輯需要調用外部服務,仍需Webhook。但這只占真實場景的約20%。標簽注入、Sidecar前置、字段默認值——這些現在都是原生進程內操作。Webhooks沒有消失,只是不再是唯一選項。對大多數團隊而言,這是巨大的運維解脫。
另一個被回避的事實:當容器以root運行時,它在宿主機上也是root。容器邊界確實存在,但一旦逃逸,它就帶著完整管理員權限落在你的節點上。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
