Kubernetes 1.34 Release

云原生计算基金会（CNCF）上个月发布了 Kubernetes 1.34 版本，命名为“风与意志”（Of Wind & Will，O’ WaW）。该版本引入了分布式资源分配和 kubelet与API服务器的生产级追踪等特性。

1.34版本的关键亮点之一是引入了增强的集群内流量路由，为网络运营商提供了表达流量应如何路由到服务端点的能力。

Kubernetes 1.34中的Alpha特性包括KYAML，这是一种简化的YAML子集，旨在减轻Kubernetes配置中常见的YAML相关问题，如空格敏感性和类型强制错误。它的目的是提高Kubernetes清单的可读性和可维护性。

在1.34版本中，用户可以通过指定KYAML作为输出格式来查看资源的清单。例如，使用kubectl get pods -o kyaml来查看默认命名空间中的pod。

另一个进入Alpha阶段的特性是内置（built-in）机制，用于管理和通过PodCertificateRequests请求pod的X.509证书。以前，ServiceAccount token被用来对pod进行身份验证以连接到API服务器，这缺乏双向TLS（mutual TLS，mTLS）的支持，并在与需要基于证书进行身份验证的其他系统进行交互时会带来一定挑战。

Kubernetes 1.34为kubelet镜像凭证提供者带来了ServiceAccount token的Beta支持。这一增强的安全特性使用户能够通过使用短期token，避免在Kubernetes secrets中存储用于从私有仓库拉取镜像所需的凭证。

通过使用短期token并减少在Kubernetes secrets密钥中存储凭证的需求，这一Beta特性加强了集群安全性并简化了私有仓库的认证。

kubelet的生产级追踪功能在1.34版本中升级为稳定状态。这一功能通过使用OpenTelemetry来检测kubelet的关键操作，为运营商提供了更多可见性，以便更快地发现延迟和错误。类似的追踪能力也已添加到了API服务器，为控制平面和节点的事件提供端到端的可见性。

此外，有序命名空间删除在1.34版本中升级为稳定或普遍可用，确保在删除资源时遵循逻辑和安全依赖关系。

以前，在命名空间中资源的非确定性删除增加了漏洞和可靠性风险，例如CVE-2024-7598，其中网络策略可能会在pod之前被删除，这会导致在短暂的时间内，pod仍在运行但网络策略未被执行。这可能允许被破坏的pod绕过网络策略强制执行的网络限制。

根据发布说明，Kubernetes 1.34版本包含58项增强功能，其中13项进入Alpha状态，22项升级到Beta状态，23项成为普遍可用或稳定状态，还有一些弃用的特性。

有关Kubernetes 1.34版本的详细信息，用户可以参考官方发布说明和文档，以全面了解的增强功能和弃用情况，或观看CNCF webinar的发布团队录像。

下一个版本是1.35，预计将在2025年12月发布，这将是本年度的最后一个版本。

原文链接：

Kubernetes 1.34 Released with KYAML, Traffic Routing Controls, and Improved Observability