Новый релиз Kubernetes v1.31 — что нового принесла Elli?

Очередной выпуск получил ряд существенных улучшений, направленных на повышение безопасности, производительности и гибкости платформы. Кроме того, появился и новый маскот (персонаж-талисман) — рыжая собачка Elli, которая, по мнению разработчиков воплощает в себе ум, упорство, дружелюбие и радостную самоотверженность в работе — все те качества, которые присущи сообществу Kubernetes. 

Если же говорить о технической стороне вопроса, то релиз получился плодотворным и разносторонним. Мы кратко рассмотрим только наиболее существенные изменения. Разобраться со всеми нюансами и деталями можно на официальной странице проекта.  

Усиление безопасности: AppArmor, токены и контроль доступа 

Для обеспечения лучшей защиты контейнеров в Kubernetes v1.31 реализована технология AppArmor, получившая статус стабильной (stable) версии. AppArmor — это механизм безопасности Linux, который обеспечивает более строгий контроль над контейнерами и процессами. Теперь можно задавать профили AppArmor непосредственно в конфигурации контейнеров, что позволяет более точно контролировать их доступ к системным ресурсам. Такой подход сокращает поверхность атаки, потенциально доступную для злоумышленников, а также предотвращает несанкционированный доступ к данным и снижает число возможных уязвимостей. 

Также улучшена система токенов учетных записей, которые используются для предоставления доступа к API Kubernetes от имени сервисов. Теперь привязка осуществляется к узлам (node), а не блокам (pods), как в предыдущих версиях. Такой подход позволяет ограничить использование токена конкретным узлом, повышая безопасность всей системы в целом. Также реализован механизм дополнительной контроля безопасности, который проверяет существование узла при использовании токена. Это обеспечивает более точный контроль доступа и уменьшает риск компрометации токенов. 

Еще одним нововведением стал механизм ограничений на анонимный доступ к API. Ранее получение доступа к определенным ресурсам Kubernetes с помощью анонимных запросов контролировалось не так строго. Теперь же, администраторы имеют возможность задавать четкие конфигурации для конечных точек, защищая систему от неправильных настроек RBAC, которые могут предоставить анонимным пользователям слишком широкий доступ к кластеру контейнеров. Данная функция снижает риск несанкционированного доступа к кластеру и повышает безопасность уже на базовом уровне. 

Детальная авторизация на основе селекторов позволяет создавать более гибкие правила авторизации, основанные на селекторах меток и полей, что в свою очередь обеспечивает более точный контроль доступа к ресурсам кластера и возможность создания более сложных политик безопасности. Помимо перечисленного также был удален ряд устаревших и потенциально небезопасных функций (например поддержка SHA-1), а также улучшены возможности аудита, позволяющие лучше отслеживать действия пользователей и выявлять потенциальные угрозы. 

Повышение производительности и дополнения для AI/ML 

Релиз Kubernetes 1.31 получил ряд нововведений, направленных на улучшение масштабируемости кластеров и повышение производительности. В частности реализованы улучшены механизмы управления большими кластерами и объемными рабочими нагрузками. Эти изменения направлены на повышение эффективности и надежности Kubernetes в крупномасштабных ИТ-средах. Чтобы сделать платформу еще удобнее в использовании, был также оптимизирован пользовательский интерфейс, а также добавлены новые инструменты и плагины для повышения управляемости и мониторинга кластеров. 

Важным направлением развития проекта Kubernetes является реализация функций, направленных на нынешние и будущие сценарии использования искусственного интеллекта (AI) и машинного обучения (ML). Одним из требований для реализации подобных сценариев является поддержка, объектов совместимых с Open Container Initiative (OCI) в качестве источников тома (volume). Поэтому в новом релизе добавлена новая функция (пока что в режиме «альфа»), позволяющая использовать образ OCI в качестве тома в блоках (PODs). 

В Kubernetes v1.31 обновлены API и дизайн динамического распределения ресурсов (dynamic resource allocation, DRA). Основное внимание на этот раз было уделено функциям автомасштабирования кластера. Поддержка DRA в кублете была обновлена таким образом, что теперь доступно разделение версий между кублетом и плоскостью управления. 

Полный список обновлений и дополнений можно найти в блоге сообщества. Версия Kubernetes v1.31 уже доступна для скачивания как на GitHub, так и на официальной странице загрузки проекта. 

А мы напомним, что De Novo активно развивает направление инновационных, функциональных и защищенных облачных сервисов для работы с контейнерами. Мы предлагаем современную платформу оркестрации кластеров Kubernetes промышленного класса в коллективном облаке (KaaS), платформу Kubernetes по модели «как сервис» на базе частного облака (HCI) и ряд других решений для DevOps.