戳下方名片,关注并星标!
回复“1024”获取2TB学习资源!
👉体系化学习:运维工程师打怪升级进阶之路 4.0
— 特色专栏 —
MySQL / PostgreSQL / MongoDB
ElasticSearch / Hadoop / Redis
Kubernetes / Docker / DevOps
Nginx / Git / Tools / OpenStack
大家好,我是民工哥!
Kubernetes v1.33 作为最新版本,引入了多项重要特性和改进,旨在提升集群的安全性、可扩展性和运维效率。
安全增强
用户命名空间(User Namespaces)默认启用
自 v1.25 Alpha、v1.30 Beta 阶段后,v1.33 将此特性升级为稳定版。用户命名空间通过隔离 Pod 的用户和组 ID,显著减少容器逃逸攻击的风险,增强集群安全性。
EndpointSlices API 取代 Endpoints API
EndpointSlices 自 v1.21 稳定后,v1.33 将弃用 Endpoints API,以支持双栈网络等新特性,简化大规模端点管理。
可扩展性改进
Pod 资源就地更新
通过 KEP-1287,v1.33 支持动态调整 Pod 的 CPU 和内存资源,无需重启 Pod。此特性使无状态应用能够在运行时垂直扩展,提升资源利用率。
DRA ResourceClaim 设备状态升级
ResourceClaim 的 devices 字段从 Alpha 升级为 Beta,允许驱动程序报告设备状态(如网络接口的 MAC 地址、IP 地址),增强可观测性和故障排查能力。
运维优化
结构化命名空间删除
KEP-5080 引入结构化命名空间删除流程,确保资源删除顺序符合逻辑和安全依赖关系,避免因删除顺序不当导致的资源泄漏或安全漏洞。
Kubectl 删除确认
类似于 Linux 的 rm -i,v1.33 为 kubectl delete 命令添加交互式确认选项,防止误删重要资源。
性能与稳定性
NFTables 模式达到 GA
Kube-proxy 的 NFTables 模式从 Beta 升级为 GA,解决 iptables 模式在大型集群中的性能瓶颈,提升网络处理效率。
Pod 就地更新(In-Place Pod Updates)
KEP-1287 的 Beta 版本允许在不重启 Pod 的情况下更新容器资源,减少因资源调整导致的服务中断。
其他改进
Windows Pod 网络支持撤回
由于 Containerd 的未预期行为及替代方案的出现,v1.33 移除了对 Windows Pod 主机网络的支持。
有序命名空间删除
通过强制执行结构化删除顺序,确保在删除 Pod 之前先删除依赖资源(如 ConfigMap、Secret),避免安全漏洞或意外行为。
弃用与移除
弃用 status.nodeInfo.kubeProxyVersion 字段
该字段自 v1.31 起被弃用,v1.33 将完全移除,因其值不准确且默认禁用。
移除 Windows Pod 的主机网络支持
由于存在未预期的 containerd 行为,v1.33 将完全移除对 Windows Pod 主机网络的支持。
总结
Kubernetes v1.33 通过引入用户命名空间、EndpointSlices API 和结构化命名空间删除等特性,显著提升了集群的安全性和运维效率。同时,就地资源更新和 NFTables 模式的 GA 进一步增强了可扩展性和性能。这些改进使 Kubernetes 更适合大规模生产环境,为云原生应用提供了更强大的支持。
👍 如果你喜欢这篇文章,请点赞并分享给你的朋友!
公众号读者专属技术群
构建高质量的技术交流社群,欢迎从事后端开发、运维技术进群(备注岗位,已在技术交流群的请勿重复添加微信好友)。主要以技术交流、内推、行业探讨为主,请文明发言。广告人士勿入,切勿轻信私聊,防止被骗。
扫码加我好友,拉你进群
Docker 容器命令大全:启动、停止、重启、镜像管理、备份、Docker compose,工作中常用的都帮你总结好了!
告别选型焦虑!主流对象存储方案大比拼:本地存储、OSS、MinIO、Ceph、Apache Ozone 与 OpenIO
告别 Docker 依赖!是时候拥抱 Dockerless 了
再有谁说不会 k8s 四种 Service 类型!就把这个给他扔过去
Nginx 防火墙这样配:IP 自动封禁 + CC 攻击防护
PS:因为公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我们吧!
扫一扫
1103
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
