Первый релиз Kubernetes 2025 года представляет 64 усовершенствования, включая контейнеры sidecar, пользовательские пространства имен и расширенную поддержку рабочей нагрузки ИИ, что знаменует собой новую эру облачной «магии».
Первое крупное обновление в 2025 году платформы оркестровки контейнеров Kubernetes с открытым исходным кодом уже доступно, и оно приносит с собой «магию», которая поможет организациям с облачными развертываниями.
Kubernetes 1.33 стал общедоступным 23 апреля и следует за релизом Kubernetes 1.32 , дебютировавшим в конце 2024 года. Kubernetes 1.33 под кодовым названием «Octarine» значительно увеличивает улучшения, а несколько долгожданных функций перешли в стабильный статус. С 64 улучшениями — по сравнению с 44 в предыдущем выпуске — Kubernetes 1.33 обеспечивает улучшенную безопасность, управление контейнерами и расширенную поддержку рабочих нагрузок ИИ.
Название «Октарин» является отсылкой к магическому восьмому цвету в вымышленных романах Терри Пратчетта о Плоском мире; тема релиза отражает расширяющиеся возможности и инновации проекта.
«Октарин — цвет магии, так что это как мифический восьмой цвет, который видят только, знаете ли, волшебники, ведьмы и кошки», — сказала Нина Польшакова, руководитель выпуска Kubernetes 1.33, в интервью ITPro Today . «Я думаю, это подчеркивает тот тип магии с открытым исходным кодом, который Kubernetes обеспечивает в экосистеме».
Ключевые возможности Kubernetes Octarine
Среди ключевых новых функций версии Kubernetes 1.33 можно выделить следующие:
-
Политика успешного выполнения задания (KEP-3998): определяет, какие индексы модулей должны быть выполнены успешно или сколько модулей должны быть выполнены успешно, используя новое поле .spec.successPolicy.
-
Бэкэнд nftables для kube-proxy (KEP-3866): значительно повышает производительность и масштабируемость для внедрения служб в кластерах Kubernetes.
-
Маршрутизация с учетом топологии и распределением трафика (KEP-4444 и KEP-2433): оптимизирует трафик услуг в многозонных кластерах за счет приоритетной маршрутизации к конечным точкам в пределах одной зоны.
-
Пространства имен пользователей в Linux Pods (KEP-127): важная веха для устранения уязвимостей, доступная по умолчанию в бета-версии с возможностью включения через pod.spec.hostUsers.
Контейнеры Sidecar наконец-то перешли в категорию стабильных
Одной из самых ожидаемых функций, которая появится в стабильной версии 1.33, является встроенная поддержка контейнеров sidecar — шаблона, широко используемого в реализациях сервисных сеток, но ранее не имевшего формальной поддержки Kubernetes.
«Контейнеры Sidecar теперь переходят на стабильную версию в 1.33, и это очень распространенная модель в Kubernetes, когда ваш контейнер Sidecar внедряется рядом с контейнером приложения», — пояснила Польшакова. «Он может абстрагировать такие вещи, как наблюдаемость, подключение и функциональность безопасности».
Несмотря на то, что поддержка собственных sidecar-модулей в Kubernetes использовалась в течение многих лет в таких проектах, как Istio, она появилась уже давно. Новая стабильная реализация обеспечивает надлежащее управление жизненным циклом контейнера.
«Теперь, с новой нативной поддержкой sidecar в 1.33, переходящей в стабильную версию, это значительно снижает трения с принятием sidecar в Kubernetes в целом», — отметила Польшакова. «Kubernetes изначально поддерживает то, что ваш sidecar запускается до и завершается после основного контейнера, так что это гарантирует вам правильную инициализацию и демонтаж».
Улучшения безопасности: пространства имен пользователей теперь включены по умолчанию
Улучшения безопасности занимают видное место в Kubernetes 1.33: пространства имен пользователей теперь включены по умолчанию, хотя технически они все еще обозначены как бета-функция.
Эта функция находится в разработке с 2016 года и потребовала внесения изменений во множество проектов за пределами Kubernetes.
«Пространства имен пользователей позволяют разработчикам изолировать свои идентификаторы пользователей внутри контейнера от идентификаторов на хосте, что уменьшает поверхность атаки в случае взлома контейнера», — сказала Польшакова. «В многопользовательских средах это действительно большой выигрыш, поскольку в общем кластере, где у вас есть разные команды или организации, развертывающие рабочие нагрузки, вы можете заставить пространства имен пользователей обеспечивать строгие границы изоляции между несколькими арендаторами».
Поддержка выпускников Nftables для стабильной работы
Еще одна важная функция, переходящая в стабильную версию, — это бэкэнд kube-proxy на основе nftables, предлагающий улучшения производительности по сравнению с традиционной реализацией iptables. Iptables на протяжении десятилетий был стандартной технологией пакетов и брандмауэров Linux, но теперь он был заменен nftables.
«Nftables был представлен в 2014 году в апстриме Linux, и с тех пор большая часть апстрим-разработок как бы переместилась туда», — сказала Польшакова. «Они предлагают некоторые улучшения в плане производительности и масштабируемости по сравнению с iptables. Вы можете делать постепенные изменения в наборе правил в nftables, чего вы не можете сделать с iptables».
Польшакова добавила, что это изменение лучше соответствует направлению развития экосистемы Kubernetes и современным сетевым принципам Linux.
Функции динамического распределения ресурсов для рабочих нагрузок ИИ
Еще одним заметным достижением Kubernetes 1.33 является усовершенствование технологии динамического распределения ресурсов (DRA).
DRA — это функция Kubernetes, которая управляет распределением ресурсов за пределами традиционных ЦП и памяти. Эти функции помогают распределять специализированное оборудование, такое как GPU, TPU и FPGA.
Польшакова отметила, что функции DRA отражают волнение сообщества по поводу новых типов рабочих нагрузок и указывают на то, как Kubernetes расширяется для поддержки более сложных вычислительных потребностей, особенно в области ИИ. Функции важны, поскольку они обеспечивают более гибкое управление аппаратными ресурсами, позволяя организациям более эффективно запускать все более сложные рабочие нагрузки ИИ и машинного обучения в кластерах Kubernetes.
«Это первый релиз, в котором у нас появилось шесть новых функций DRA», — сказала она. «Многие из них находятся в стадии альфа и бета, поэтому они нестабильны, но они указывают на то, что теперь мы обрабатываем больше новых типов рабочих нагрузок для ИИ».
Еще одним усовершенствованием, связанным с ИИ, является новая функция политики успешности выполнения задания, которая обеспечивает большую гибкость в определении того, когда задание было успешно выполнено.
«Текущее поведение означает, что вам нужно, чтобы все индексы в задании были выполнены успешно, чтобы отметить это задание как выполненное», — объяснила Польшакова. «Теперь разница в том, что пользователи могут указать, какие индексы пода должны быть выполнены успешно, и это полезно, в частности, для рабочих нагрузок PyTorch».
