Kubernetes v1.34 — Динамическое распределение ресурсов становится GA; токены ServiceAccount kubelet для извлечения изображений и ресурсы на уровне пода меняют правила игры

Основное обновление

Kubernetes v1.34 (заметки о выпуске опубликованы 27 августа 2025 года) переводит Динамическое распределение ресурсов (DRA) в GA, вводит поддержку kubelet для краткоживущих, ориентированных на аудиторию токенов ServiceAccount для извлечения изображений (бета) и продвигает запросы/лимиты ресурсов на уровне пода до бета, добавляя новый вариант вывода KYAML и другие улучшения производительности планировщика и API-сервера.

Почему это важно

DRA GA — это самое значительное практическое изменение: управление устройствами (GPU, TPU, умные сетевые интерфейсы и т. д.) переходит от произвольных плагинов устройств и аннотаций к объектам ResourceClaim/DeviceClass/ResourceSlice, управляемым API, и интеграции с планировщиком. Для команд, работающих с AI/ML или специализированным оборудованием, это снижает сложность пользовательских контроллеров, делает возможным совместное использование устройств и тонкую настройку распределения ресурсов, а также открывает путь к более безопасному использованию GPU в многопользовательской среде — но это требует от драйверов устройств и драйверов кластера реализации API DRA. Ожидайте обновлений драйверов и изменений контроллеров, прежде чем вы сможете полностью внедрить это в производственной среде.

Проецируемые токены ServiceAccount kubelet для реестров изображений существенно улучшают безопасность: извлечение изображений может быть авторизовано с использованием краткоживущих учетных данных, ограниченных подом, вместо долгоживущих секретов узла, что снижает поверхность атаки и разрастание секретов. На практике операторы должны проверить, что их реестры и поставщики учетных данных поддерживают токены, ориентированные на аудиторию, и запланировать поэтапную миграцию от секретов извлечения на уровне узла.

Запросы/лимиты ресурсов на уровне пода (теперь бета) упрощают определение размеров многоконтейнерных подов и позволяют автоматическим масштабировщикам (HPA/VPA/автоматический масштабировщик кластера) и планировщикам рассуждать о бюджетах подов вместо бюджетов на контейнер — это может сократить избыточное распределение для сайдкаров и улучшить упаковку, но некоторые инструменты (адаптеры метрик, автоматические масштабировщики, пользовательские планировщики) потребуют обновлений для чтения новой семантики.

Операционные последствия и немедленные действия: протестируйте v1.34 в тестовой среде (образы kubeadm/minikube/GKE/EKS), координируйте обновления драйверов и CSI перед включением DRA в производственной среде, проверьте потоки учетных данных для извлечения изображений и поставщиков учетных данных на использование проецируемых токенов, а также проверьте автоматическое масштабирование и пользовательские контроллеры на соответствие семантике ресурсов на уровне пода. Эти изменения имеют практическое значение и важны для реальных рабочих нагрузок (особенно для нагрузок, использующих ускорители, более строгую безопасность извлечения изображений или многоконтейнерные поды) — это не просто незначительные изменения интерфейса.

Источник

• Source