Kubernetes v1.34 — 动态资源分配正式发布；kubelet 图像令牌拉取和 Pod 级资源改变游戏规则

关键更新

Kubernetes v1.34（发布说明于 2025 年 8 月 27 日发布）将动态资源分配（DRA）提升至正式版，引入了 kubelet 对短期、面向受众的 ServiceAccount 令牌（测试版）以支持图像拉取，并将 Pod 级资源请求/限制提升至测试版，同时添加了新的 KYAML 输出选项以及其他调度器和 API 服务器性能改进。

重要性

DRA 正式版是最大的实际变化：设备管理（GPU、TPU、智能网卡等）从临时设备插件和注释转变为一流的、基于 API 的 ResourceClaim/DeviceClass/ResourceSlice 对象和调度器集成。对于运行 AI/ML 或专用硬件的团队，这减少了自定义控制器的复杂性，使设备共享和细粒度分配成为可能，并为更安全的多租户 GPU 使用开辟了道路——但这需要设备驱动程序和集群驱动程序实现 DRA API。在您能够在生产环境中完全采用之前，预计需要进行驱动程序升级和控制器更改。

kubelet 为图像注册表提供的投影 ServiceAccount 令牌在安全性方面有显著改善：图像拉取可以使用短期、Pod 范围的凭证进行授权，而不是长期的节点密钥，从而减少攻击面和密钥扩散。实际上，操作员应验证他们的注册表和凭证提供者是否支持面向受众的令牌，并计划从节点级拉取密钥的分阶段迁移。

Pod 级资源请求/限制（现为测试版）简化了多容器 Pod 的大小调整，使自动扩展器（HPA/VPA/集群自动扩展器）和调度器能够基于 Pod 预算进行推理，而不是基于每个容器的预算——这可以减少侧车的过度配置并改善打包，但某些工具（指标适配器、自动扩展器、自定义调度器）需要更新以读取新的语义。

操作影响和立即行动：在暂存环境中测试 v1.34（kubeadm/minikube/GKE/EKS 镜像），在生产环境中启用 DRA 之前协调驱动程序和 CSI 更新，审核图像拉取凭证流和凭证提供者以使用投影令牌，并根据 Pod 级资源语义验证自动扩展和自定义控制器。这些变化对实际工作负载（尤其是使用加速器、更严格的图像拉取安全性或多容器 Pods 的工作负载）是可操作且有意义的——而不仅仅是增量的表面调整。

来源

• 来源