全部产品
Search

搜索本产品

    Container Service for Kubernetes:Panduan Versi ACK Kubernetes 1.35

    文档中心

    Container Service for Kubernetes:Panduan Versi ACK Kubernetes 1.35

    更新时间:Mar 03, 2026

    Container Service for Kubernetes Alibaba Cloud sepenuhnya mematuhi sertifikasi kepatuhan komunitas. Topik ini menjelaskan perubahan utama dalam rilis ACK Kubernetes 1.35, mencakup pertimbangan upgrade, breaking changes, fitur baru, fitur dan API yang ditinggalkan, serta feature gates.

    Versi komponen

    Tabel berikut mencantumkan versi komponen inti yang didukung di kluster ACK.

    Core component

    Version

    Kubernetes

    1.35.1-aliyun.1

    etcd

    v3.5.21

    containerd

    2.1.5

    CoreDNS

    v1.12.1.2

    CSI

    CNI

    Flannel v0.28.0.6

    Terway dan TerwayControlplane v1.15.0 atau lebih baru

    Breaking changes

    • Mulai versi 1.35, Kubernetes tidak lagi mendukung cgroup v1. Dukungan untuk cgroup v2 telah stabil sejak versi 1.25. Sistem operasi node harus di-upgrade untuk mendukung cgroup v2; jika tidak, kubelet gagal memulai.

      Untuk informasi lebih lanjut mengenai dukungan versi cgroup pada citra OS ACK, lihat Operating system. Untuk mengetahui cara mengganti atau meng-upgrade OS Anda, lihat Replace operating system.

    Perubahan fitur

    • Field trafficDistribution pada Service kini mendukung opsi PreferSameNode, yang kini tersedia secara umum (GA). Opsi ini mengarahkan traffic ke endpoint pada node yang sama terlebih dahulu; jika tidak ada endpoint yang tersedia pada node tersebut, traffic dialihkan ke endpoint pada node lain.

      Feature gate PreferSameTrafficDistribution diaktifkan secara default mulai versi 1.34 dan mendukung kedua opsi PreferSameNode dan PreferSameZone. Opsi PreferClose sebelumnya telah diganti namanya menjadi PreferSameZone.

    • PodObservedGenerationTracking kini tersedia secara umum. Saat spec Pod diperbarui, nilai .metadata.generation akan bertambah. Kubelet mencatat field .status.observedGeneration untuk melacak versi spec yang telah diproses. Hal ini membantu controller dan operator menentukan secara akurat apakah perubahan pada Pod, seperti in-place scaling, telah diterapkan pada node, sehingga mencegah masalah akibat keterlambatan pembaruan status.

    • Opsi kebijakan node topology manager max-allowable-numa-nodes (max-allowable-numa-nodes) kini tersedia secara umum. Topology manager kini dapat menghitung afinitas dengan benar pada server yang memiliki lebih dari delapan node NUMA.

    • Downward API kini mendukung injeksi label topologi node, seperti topology.kubernetes.io/zone dan topology.kubernetes.io/region, ke dalam Pod.

    • StorageVersionMigrator dipromosikan ke Beta dan dinonaktifkan secara default. Fitur ini memindahkan kemampuan migrasi versi penyimpanan dari alat eksternal ke dalam Kubernetes. Untuk informasi lebih lanjut, lihat Move Storage Version Migrator in-tree.

    • MutableCSINodeAllocatableCount diaktifkan secara default. Fitur ini memungkinkan driver CSI untuk memperbarui jumlah volume yang dapat dialokasikan pada node secara berkala, sehingga mengatasi keterlambatan dalam memperbarui kapasitas volume yang dapat dialokasikan. Tanpa perbaikan ini, scheduler mungkin menempatkan Pod pada node dengan kapasitas volume yang tidak mencukupi, menyebabkan Pod tersebut terjebak dalam status ContainerCreating.

    • Scheduler kini mendukung Opportunistic batching, yang menyimpan hasil penjadwalan antara dalam cache untuk meningkatkan throughput penjadwalan secara signifikan bagi Pod yang serupa.

    • MaxUnavailableStatefulSet dipromosikan ke Beta dan diaktifkan secara default. Fitur ini menambahkan field maxUnavailable ke strategi rolling update StatefulSet, memungkinkan Anda mengatur jumlah maksimum Pod yang tidak tersedia selama pembaruan.

    • Fitur Pod Certificates dipromosikan ke Beta dan dinonaktifkan secara default. Fitur ini menghasilkan sertifikat untuk Pod guna melakukan otentikasi timbal balik dengan kube-apiserver serta mendukung rotasi sertifikat otomatis, sehingga memberikan keamanan yang lebih kuat dibandingkan token ServiceAccount tradisional. Untuk informasi lebih lanjut, lihat KEP-4317: Pod Certificates.

    • kubectl mendukung format KYAML, yaitu subset YAML yang dirancang khusus untuk Kubernetes. Format ini mengatasi ambiguitas dan isu keamanan dalam penguraian YAML standar. Anda dapat menonaktifkan fitur ini dengan mengatur variabel lingkungan KUBECTL_KYAML=false. Untuk informasi lebih lanjut, lihat Introducing KYAML.

    • Field behavior pada HorizontalPodAutoscaler (HPA) kini mendukung ambang batas toleransi kustom. Sebelumnya, keputusan penskalaan menggunakan toleransi global tetap sebesar 10%; kini Anda dapat mengonfigurasi toleransi sesuai kebutuhan.

    • User Namespaces (User Namespaces) dipromosikan ke Beta. Fitur ini memungkinkan Pod berjalan dalam namespace pengguna yang terisolasi dari host. Proses kontainer dapat berjalan sebagai root (UID 0) dalam namespace tersebut, tetapi dipetakan ke UID non-root yang tidak memiliki hak istimewa pada host, sehingga mengurangi risiko keamanan akibat peningkatan hak istimewa yang dapat terjadi jika terjadi container escape.

    • ImageVolume diaktifkan secara default. Fitur ini memungkinkan Anda menggunakan volume bertipe image dalam Pod, yang memasang konten gambar kontainer sebagai volume read-only. Fitur ini hanya dapat digunakan dengan containerd v2.1 atau lebih baru.

    • KubeletEnsureSecretPulledImages dipromosikan ke Beta dan diaktifkan secara default. Fitur ini menerapkan validasi kredensial untuk Pod yang menggunakan imagePullPolicy: IfNotPresent, sehingga meningkatkan keamanan pada kluster multi-tenant. Fitur ini mencegah Pod dengan hak istimewa menarik gambar privat ke node, lalu memungkinkan Pod tanpa hak istimewa lainnya pada node yang sama mengakses gambar sensitif tersebut dari cache lokal.

    • ContainerRestartRules dipromosikan ke Beta dan diaktifkan secara default. Fitur ini memungkinkan kebijakan restart detail halus tingkat kontainer dengan mengganti kebijakan restart tingkat Pod melalui penentuan restartPolicy dan restartPolicyRules untuk masing-masing kontainer. Untuk informasi lebih lanjut, lihat Individual container restart policy and rules.

    • Driver CSI kini dapat mengatur field spec.serviceAccountTokenInSecrets pada objek CSIDriver menjadi true. Hal ini memasang token ServiceAccount menggunakan Secrets, bukan menempatkannya langsung dalam volume context, sehingga membantu mencegah kebocoran kredensial secara tidak sengaja dalam log dan pesan error. Untuk informasi lebih lanjut, lihat CSI driver opt-in for service account tokens via secrets field.

    • Objek Deployment kini mencakup field terminatingReplicas yang melacak jumlah Pod yang memiliki timestamp penghapusan yang telah ditetapkan tetapi belum sepenuhnya dihapus dari sistem.

    Penghentian dukungan

    • Mulai versi 1.35, mode ipvs pada kube-proxy telah ditinggalkan dan akan dihapus pada rilis mendatang. Kami menyarankan Anda beralih ke mode nftables, yang telah stabil sejak v1.33. Meskipun demikian, karena mode nftables relatif baru, ACK masih menggunakan mode ipvs secara default untuk kluster baru. ACK berencana menambahkan dukungan untuk mode nftables pada rilis mendatang.

      Kami menyarankan Anda menggunakan Terway Datapath V2, yang tidak bergantung pada kube-proxy.

    • Versi 1.35 merupakan rilis terakhir yang mendukung containerd 1.x. Anda harus meng-upgrade containerd ke versi 2.x sebelum melakukan upgrade ke Kubernetes 1.36 atau lebih baru. Kluster ACK telah menggunakan containerd 2.x secara default sejak versi 1.33. Untuk informasi lebih lanjut, lihat containerd 2.1 overview.

    Tautan terkait

    Untuk daftar lengkap perubahan dalam Kubernetes 1.35, lihat CHANGELOG-1.35 dan Kubernetes v1.35: Timbernetes (The World Tree Release).