撰写于 2026

  • Kubernetes v1.36:用户命名空间终于正式可用

    借由 Rodrigo Campos Catelin (Amutable), Giuseppe Scrivano (Red Hat) | 2026.04.23 在 博客

    经过数年的开发,Kubernetes 中的用户命名空间(User Namespaces)支持已随着 v1.36 发布进入正式发布(GA)阶段。 这是一个仅适用于 Linux 的特性。 对于从事底层容器运行时(Container Runtimes)和 rootless 技术的我们来说, 这是一个期待已久的里程碑。 我们终于走到了可以将 rootless 安全隔离用于 Kubernetes 工作负载的阶段。 这一特性还开启了一种关键模式:让工作负载在拥有特权的同时,依然被限制在用户命名空间内。 当 …

    更多

  • SELinux 卷标签变更进入 GA 阶段(以及 v1.37 中可能的影响)

    借由 Jan Šafránek (Red Hat)、 Swathi Rao (Independent) | 2026.04.22 在 博客

    如果你在 Linux 上运行带有 SELinux 强制模式的 Kubernetes, 请提前规划:未来某个版本(预计为 v1.37)预计将默认启用 SELinuxMount 特性门控。 这会使大多数工作负载的卷设置更快,但它可能会破坏以微妙方式仍依赖于旧版递归重新标记模型的应用程序 (例如,在同一节点上的特权和非特权 Pod 之间共享一个卷)。 Kubernetes v1.36 是审计集群、修复或选择退出此更改的正确版本。 如果你的节点不使用 SELinux,则没有任何变化: …

    更多

  • Kubernetes v1.36:ハル (Haru)

    借由 Kubernetes v1.36 发布团队 | 2026.04.22 在 博客

    编辑:Chad M. Crowell、Kirti Goyal、Sophia Ugochukwu、Swathi Rao、Utkarsh Umre 与之前的版本类似,Kubernetes v1.36 的发布引入了新的稳定(GA)、Beta 和 Alpha 特性。 持续交付高质量版本,凸显了我们开发周期的韧性,以及社区充满活力的支持。 此版本包含 70 项增强。其中,18 项已进阶至稳定阶段,25 项进入 Beta 阶段,25 项进阶至 Alpha 阶段。 本次发布还包含一些弃用与移除内容,请务必阅 …

    更多

  • Kubernetes v1.36 抢先一览

    借由 Chad Crowell, Kirti Goyal, Sophia Ugochukwu, Swathi Rao, Utkarsh Umre | 2026.03.30 在 博客

    Kubernetes v1.36 将于 2026 年 4 月底发布。 本次发布将包含移除和弃用项,并带来数量可观的增强功能。 以下是我们在这个发布周期中最期待的一些特性。 请注意,本文信息反映的是 v1.36 开发的当前状态,发布前仍可能发生变化。 Kubernetes API 的移除与弃用流程 Kubernetes 项目针对功能有一套文档完善的弃用策略。 该策略规定,稳定版 API 只有在有新的稳定替代版本时才会被弃用,并且 API 在每个稳定级别都有最短生命周期。 被弃用的 API 会被标 …

    更多

  • Ingress2Gateway 1.0 正式发布:通往 Gateway API 的途径

    借由 Beka Modebadze (Google), Steven Jin (Microsoft) | 2026.03.20 在 博客

    随着 Ingress-NGINX 计划于 2026 年 3 月正式退役,Kubernetes 网络图景正处于一个转折点。 对于大多数组织而言,问题不在于是否迁移到 Gateway API,而在于如何安全地完成迁移。 从 Ingress 迁移到 Gateway API 是 API 设计的根本性转变。 Gateway API 提供了一个模块化、可扩展的 API,并对 Kubernetes 原生的基于角色的访问控制(RBAC)提供了强大的支持。 相反,Ingress API 较为简单, …

    更多

  • 在 Kubernetes 上使用 Agent Sandbox 运行智能体

    借由 Janet Kuo Justin Santa Barbara | 2026.03.20 在 博客

    人工智能领域正经历着一场巨大的架构变革。 在生成式人工智能的早期,与模型交互通常被视为一个瞬态的、无状态的函数调用:一个启动、执行可能仅 50 毫秒便终止的请求。 如今,人工智能 2.0 正在取代人工智能 1.0。 人工智能生态系统正从短暂、孤立的任务转向部署多个持续运行的、协同工作的 AI 智能体。 这些自主智能体需要维护上下文信息、使用外部工具、编写和执行代码,并在较长时间内相互通信。 当平台工程团队寻找合适的架构来托管这些新型 AI 工作负载时, Kubernetes 脱颖而出,成为自然 …

    更多

  • 保护 Kubernetes 中的生产环境调试

    借由 Shridivya Sharma | 2026.03.18 在 博客

    在生产环境调试期间,最快的途径通常是广泛的访问权限, 例如 cluster-admin(授予管理员级别访问权限的 ClusterRole)、共享的堡垒机/跳板机, 或者长期存在的 SSH 密钥。这种方法在当时有效, 但存在两个常见问题:审计变得困难,临时例外往往成为惯例。 本文提供了我的建议,适用于现有 Kubernetes 环境的良好实践,只需最小的工具变更: 使用 RBAC 实现最小权限原则 短期、身份绑定的凭证 用于云原生调试的 SSH 风格握手模型 保护生产调试工作流程的良好架构是使用 …

    更多

  • 无形的重写:现代化 Kubernetes 镜像推广工具

    借由 Sascha Grunert (Red Hat) | 2026.03.17 在 博客

    你从 registry.k8s.io 拉取的每个容器镜像都是通过 kpromo(Kubernetes 镜像推广工具)完成的。 它将镜像从临时仓库复制到生产环境,使用 cosign 进行签名, 在 20 多个区域镜像间复制签名,并生成 SLSA 来源证明。 如果这个工具出问题,Kubernetes 就无法发布。在过去几周里,我们从零开始重写了它的核心, 删除了 20% 的代码库,使其速度大幅提升,而没有人注意到。这正是我们的目的。 一点历史 镜像推广工具始于 2018 年末,是由 Linus …

    更多

  • 宣布成立 AI 网关工作组

    借由 Keith Mattix, Nir Rozenbaum, Morgan Foster, Flynn | 2026.03.09 在 博客

    Kubernetes 社区包含多个特别兴趣小组(SIG)和工作组(WG), 旨在促进相关贡献者之间就重要议题展开讨论。 今天,我们很高兴地宣布成立 AI 网关工作组, 这是一项专注于为 Kubernetes 环境中支持 AI 工作负载的网络基础设施制定标准和最佳实践的新举措。 什么是 AI 网关?在 Kubernetes 环境中,AI 网关指的是网络网关基础设施(包括代理服务器、负载均衡器等), 它通常实现 Gateway API 规范,并针对 AI 工作负载提供增强功能。 AI 网关并非定义 …

    更多

  • SIG Architecture 聚焦:API 治理

    借由 Frederico Muñoz (SAS Institute) | 2026.02.12 在 博客

    这是 SIG Architecture 聚焦系列的第五篇访谈,将介绍不同的子项目。本篇聚焦 SIG Architecture:API 治理。 在这篇 SIG Architecture 聚焦访谈中,我们采访了 API 治理子项目负责人 Jordan Liggitt。 介绍 FM:Jordan 你好,感谢你接受采访。请先简单介绍一下你自己、你的职责,以及你是如何参与 Kubernetes 的。 JL:我叫 Jordan Liggitt。我是一名基督徒、丈夫、四个孩子的父亲,白天在 Google 做 …

    更多