| 👀 خبر در یک نگاه:
Kubernetes 1.34 با نام «Of Wind & Will» منتشر شد. این نسخه شامل ۵۸ بهبود است؛ از جمله KYAML برای سادهسازی YAML، مسیریابی پیشرفته ترافیک، مدیریت گواهی X.509 برای پادها، توکنهای کوتاهمدت ServiceAccount، ردیابی سطح تولید در kubelet و API سرور و حذف ترتیبی فضای نام برای افزایش امنیت و پایداری. |
بنیاد Cloud Native Computing Foundation ماه گذشته نسخه Kubernetes 1.34 با نام Of Wind & Will (O’ WaW) را منتشر کرد. در این نسخه قابلیتهایی مثل تخصیص توزیعشده منابع و رهگیری در سطح پروداکشن برای Kubelet و API server معرفی شده است.
ویژگیهای ورژن جدید کوبرنتیز
یکی از مهمترین ویژگیها، بهبود روتینگ ترافیک درون کلاستر است که به اپراتورهای شبکه امکان میدهد اولویتهای خود را برای نحوه مسیریابی ترافیک به نقاط پایانی سرویس مشخص کنند.
ویژگی KYAML
ویژگیهای آلفا در Kubernetes 1.34 شامل KYAML است؛ یک زیرمجموعه سادهشده از YAML که برای رفع چالشهای رایج در تنظیمات Kubernetes طراحی شده است؛ مثل حساسیت به وایتاسپیسها و خطاهای تبدیل تایپ (Type Coercion). هدف این قابلیت، بهبود خوانایی و نگهداری Manifestها است.
در نسخه 1.34، کاربران میتوانند Manifest منابع را با تعیین KYAML بهعنوان فرمت خروجی مشاهده کنند. برای مثال: kubectl get pods -o kyaml برای نمایش پادها در Namespace پیشفرض قابل استفاده است.
استفاده از PodCertificateRequests
یکی از قابلیتهای تازه در مرحله آلفا، امکان مدیریت و درخواست گواهیهای X.509 برای پادها با استفاده از PodCertificateRequests است. پیش از این، برای احراز هویت پادها در برابر API Server، از ServiceAccount Token استفاده میشد. این روش، از mutual TLS پشتیبانی نمیکرد و در تعامل با سیستمهایی که نیاز به احراز هویت مبتنی بر سرتیفیکیت داشتند، محدودیت ایجاد میکرد.
➕ نکته اضافه: mTLS یک پروتکل امنیتی است که هویت هر دو طرف ارتباط، یعنی کلاینت و سرور را با گواهی دیجیتال تایید میکند تا اتصال کاملا ایمن و معتبر باشد.
پشتیبانی از ServiceAccount Tokens
در Kubernetes 1.34 همچنین پشتیبانی بتا از ServiceAccount Tokenها برای kubelet image credential providerها اضافه شده است. این ویژگی امنیتی جدید باعث میشود دیگر نیازی به ذخیره اطلاعات کاربری در Kubernetes Secret برای دریافت ایمیج از ریجیستری خصوصی نباشد و بهجای آن از توکنهای کوتاهمدت استفاده شود.
با بهرهگیری از این توکنهای کوتاهمدت و کاهش نیاز به ذخیره اطلاعات کاربری در Secretها، این قابلیت بتا هم امنیت کلاستر را تقویت میکند و هم احراز هویت ریجیستری خصوصی را سادهتر میسازد.
قابلیت Production-Grade Tracing
در نسخه Kubernetes 1.34 قابلیت Tracing در سطح Production برای kubelet به مرحله پایدار رسیده است. این ویژگی با بهرهگیری از OpenTelemetry عملیات مهم kubelet را رصد میکند تا اپراتورها سریعتر تاخیرها و خطاها را شناسایی کنند. قابلیت مشابهی هم برای API Server اضافه شده تا امکان مشاهده end-to-end ایونتها، هم در کنترل Plane و هم در نودها، فراهم شود.
ویژگی Ordered Namespace Deletion
همچنین در این نسخه، حذف ترتیبی namespace به حالت پایدار رسیده است. این تغییر تضمین میکند که هنگام حذف منابع، وابستگیهای منطقی و امنیتی رعایت شوند.
پیشتر حذف منابع در یک namespace به صورت غیرقطعی انجام میشد که خطرپذیری و ریسک اطمینانپذیری را بالا میبرد. مثلا در CVE-2024-7598، احتمال داشت Network Policyها قبل از پادها حذف شوند و در یک بازه زمانی کوتاه، پادها همچنان فعال بمانند اما هیچ محدودیت شبکهای روی آنها اعمال نشود. این مسئله میتوانست به پادهای آلوده اجازه دهد که از محدودیتهای شبکهای عبور کنند.
سخن نهایی
طبق یادداشتهای انتشار، نسخه Kubernetes 1.34 شامل ۵۸ قابلیت جدید است:
- ۱۳ مورد در مرحله آلفا
- ۲۲ مورد در حال ارتقا به بتا
- ۲۳ مورد به مرحله پایدار یا GA رسیدهاند
- چند مورد هم کنار گذاشته شدهاند.
برای جزئیات کامل، میتوان به Release Notes رسمی، مستندات Kubernetes مراجعه کرد.
منبع: infoq.com
دیدگاهتان را بنویسید