Cloud Native Computing Foundation (CNCF)は先月、「Of Wind & Will」(O’ WaW)と名付けたKubernetes 1.34をリリースした。kubeletやAPIサーバーにおける分散リソース割り当てやプロダクショングレードのトレーシングなどの機能を導入している。
1.34の主な注目点はクラスタ内トラフィックルーティングの強化であり、これによりネットワークオペレーターはサービスエンドポイントへのトラフィックのルーティング方法に関する優先設定を表現できるようになる。
Kubernetes 1.34のアルファ機能にはホワイトスペース感度や型強制エラーのようなKYAML、Kubernetes構成における一般的なYAML関連課題を軽減するために設計された簡素化されたYAMLサブセットを含んでいる。これはKubernetesマニフェストの可読性と保守性の向上を目指している。
バージョン1.34ではKYAMLを出力形式として指定することで、リソースのマニフェストを表示できるようになる。例えばkubectl get pods -o kyamlはデフォルトのネームスペース内のPodを表示する。
アルファ段階に入ったもう1つの機能は、PodCertificateRequestsを介してPod向けのX.509証明書を管理および要求するための組み込みメカニズムだ。これまでServiceAccountトークンがAPIサーバーへのPod認証に使用されていたが、これには相互TLS(mTLS)サポートが欠けており、証明書ベースの認証を必要とする他のシステムとのインタラクションに課題があった。
Kubernetes 1.34ではkubeletイメージ資格情報プロバイダー向けのServiceAccountトークンのベータサポートが導入されている。このセキュリティ機能強化は短命トークンを利用することで、プライベートレジストリからイメージ取得するために必要な資格情報をKubernetesシークレットに保存する必要をなくしている。
短命トークンを活用し、Kubernetesシークレットに資格情報を保存する必要性を減らすことで、このベータ機能はクラスタのセキュリティを強化し、プライベートレジストリ認証をシンプル化する。
kubelet向け本番環境対応トレーシングの導入がバージョン1.34で安定版に昇格した。この機能はレイテンシやエラーを早期に発見できるようにするために、OpenTelemetryでkubeletの主要操作を測定することでオペレーターにより多くの可視性を提供する。同様のトレーシング機能がAPIサーバーにも追加され、コントロールプレーンとノードのイベントに対するエンドツーエンドの可視性を提供する。
また、順序付きネームスペース削除が1.34で安定版または一般提供に昇格し、リソースを削除する際に論理的およびセキュリティ上の依存関係が確実に尊重される。
以前はネームスペース内のリソースの非決定的な削除が脆弱性や信頼性のリスクを増加させていた。例えばCVE-2024-7598では、Podよりも先にネットワークポリシーが削除される可能性があり、その結果、Podが稼働しているにも関わらずネットワークポリシーが適用されない短い期間が発生することがあった。これにより侵害されたポッドがネットワークポリシーによって適用されているネットワーク制限をバイパスすることが可能となる。
リリースノートによると、Kubernetesバージョン1.34には58の拡張機能が含まれており、そのうち13がアルファ段階に入り、22がベータ版に昇格し、23が一般提供または安定版となり、いくつかの非推奨機能が含まれている。
Kubernetes 1.34リリースの詳細情報については拡張機能や非推奨機能の包括的な概要については公式リリースノートやドキュメントを参照するか、もしくはリリースチームによるCNCFウェビナーの録画を視聴できる。
次回のリリースであるバージョン1.35は2025年12月に予定されており、カレンダー年で最後のリリースとなる予定だ。