Kubernetes v1.36 正式发布,带来 70 项功能增强,重点强化安全默认配置、AI 工作负载支持与 API 可扩展性,多项核心能力进入 GA 阶段。
📝 详细摘要
Kubernetes v1.36 版本(代号 Haru)是 2026 年的首个重要版本,包含 70 项增强功能。安全方面,用户命名空间(User Namespaces)正式 GA,可将容器内 root 映射为非特权用户,大幅提升容器逃逸防护能力;可变准入策略(Mutating Admission Policies)也达到 GA,为传统 Webhook 提供了原生高性能替代方案。AI 工作负载方面,多项 DRA 增强功能进入 Beta 并默认开启,支持 GPU 分区、共享与故障恢复,替代了传统的整数 GPU 设备插件模型;新增的工作负载感知抢占(Alpha)解决了分布式训练中部分抢占的痛点。API 可扩展性方面,分片列表与分片监听流(Alpha)解决了大规模集群的监听流瓶颈。此外,Pod 级资源原地垂直扩缩容进入 Beta,支持不重启容器调整资源配额。版本也移除了 gitRepo 卷插件、kube-proxy IPVS 模式等已废弃功能,并强调了 Ingress NGINX 的正式退役。
💡 主要观点
- 用户命名空间正式 GA,显著提升容器安全基线。 该功能将容器内 root 用户映射为主机非特权用户,即使容器被突破,攻击者也无法获得节点 root 权限,是重要的纵深防御能力。
💬 文章金句
- 本次发布最亮眼的安全功能是用户命名空间(User Namespaces)正式达到 GA,该功能已经历多个版本周期的打磨。
- 多项 DRA 增强功能进入测试阶段并默认开启……这些功能替代了传统的整数 GPU 设备插件模型……转而提供原生能力,适配现代加速器的分区、共享以及故障恢复机制。
- 新的机制将 PodGroup 视为一个整体抢占单元,只有在确认高优先级任务组确实能够容纳资源后才会执行驱逐操作。
- Kubernetes 正从一个灵活的框架逐步转向拥有更标准化、更具强制性的默认安全与资源规范。
📊 文章信息
AI 初评:86
来源:InfoQ 中文
作者:InfoQ 中文
分类:软件编程
语言:中文
阅读时间:12 分钟
字数:2848
标签: Kubernetes, v1.36, 容器编排, AI 工作负载, 安全加固