「Kubernetes v1.31: Elli」公開 セキュリティ向上や運用の効率化につながる45の機能強化を発表11の機能が正式リリース、22の機能がβに昇格、11の機能がαとして追加

Kubernetesプロジェクトは、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。

» 2024年09月05日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Kubernetesプロジェクトは2024年8月13日(米国時間)、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。

 Kubernetes v1.31では、45の機能強化が行われている。Kubernetesプロジェクトはv1.31の主なアップデートを次のように説明している。

Kubernetes v1.31で正式リリースされた機能

AppArmorに対応

 Linuxのセキュリティ機能であるAppArmorに対応した。securityContextでappArmorProfile.typeを設定することで、AppArmorを使用してコンテナを保護できる。

...
containers:
- name: container-1
  securityContext:
    appArmorProfile:
      type: RuntimeDefault
AppArmorの設定例(Kubernetesの公式ドキュメントより)

kube-proxyによる外部からの接続の安定性を改善

 kube-proxyを用いた外部からの接続の安定性が大きく改善され、ロードバランサーによる接続切り替えがスムーズに行われるようになった。

永続ボリュームの状態変化時刻の記録に対応

 永続ボリューム(PersistentVolume)の状態が変化した時刻を記録する機能が追加された。全ての永続ボリュームオブジェクトに.status.lastTransitionTimeが追加され、ボリュームの状態(Pending、Bound、Released)が変化した時刻を記録、追跡できる。

Kubernetes v1.31でβに昇格した機能

kube-proxyでのnftablesバックエンドの導入

 nftablesはiptablesの次世代版として開発されており、iptablesと比べてサービスエンドポイントの変更を迅速かつ効率的に処理できる。v1.31ではkube-proxyでのnftablesサポートがβに昇格した。NFTablesProxyModeという設定項目で制御可能であり、デフォルトで有効化されている。

永続ボリュームのreclaimポリシーの変更

 永続ボリュームのreclaimポリシーを常に尊重する機能がβに昇格した。PersistentVolumeClaim(PVC:永続ボリューム要求)の削除後も、reclaimポリシーの「Delete」が適用され、ストレージオブジェクトを確実に削除するという。

バインドされたサービスアカウントトークンの改善

 PodではなくNodeにのみバインドされたトークンを要求、発行可能になるServiceAccountTokenNodeBindingがβに昇格した。このトークンにはNodeに関する情報が含まれており、トークン使用時にNodeの存在を検証できるようになる。

複数のサービスCIDRをサポート

 Kubernetesクラスタ内のサービスはクラスタ作成時に設定された一つのCIDR(Classless Inter-Domain Routing)に依存しており、大規模クラスタや長期間運用されているクラスタでは、IPアドレスの枯渇に対処するためのメンテナンスが課題となっていた。

 v1.31ではダウンタイムなしでCIDRを動的に変更できる、複数のサービスCIDRを持つクラスタのサポートがβに昇格した。この機能はデフォルトで無効となっている。

サービスのトラフィック分散機能

 サービスのトラフィック分散を効率化するためのtrafficDistributionがv1.31でβに昇格し、デフォルトで有効化された。

VolumeAttributesClassによるボリューム修正機能

 VolumeAttributesClassは、動的なボリュームパラメーターを修正するための汎用(はんよう)APIだ。Kubernetes v1.29からα版として提供されており、v1.31でβに昇格した。

Kubernetes v1.31でαとして追加された機能

アクセラレータなどのハードウェア管理を改善するDRA API

 DRA API(Dynamic Resource Allocation:動的リソース割り当て)とその設計が更新された。DRA APIを用いることで、Podのスケジューリング時にリソースの効率的な割り当てが可能になる。

イメージボリュームのサポート

 AI(人工知能)や機械学習(ML)のユースケースに対応するため、Open Container Initiative(OCI)互換のイメージをPod内のボリュームとして直接サポートする。

Podステータスを通じたデバイスの健全性情報の公開

 各Podのステータスを通じてデバイスの健全性情報を公開する機能がαとして追加された。この機能を有効化すると、各PodのコンテナステータスにallocatedResourcesStatusの項目が追加され、コンテナに割り当てられた各デバイスの健全性情報を確認できるようになる。

セレクターに基づいた細かな認可に対応

 Webhookオーソライザーがラベルやフィールドセレクタを使用して特定リソースに対してlistやwatchリクエストを細かく制御できる。特定のNodeに割り当てられたPodや機密ラベルの付いていないSecretのみをリスト、監視することを認可するといった対応が可能になるという。

匿名APIアクセスへの制限

 feature-gatesを使用して、AnonymousAuthConfigurableEndpointsを有効化することで、認証設定ファイルを使用して匿名リクエストのアクセス制御が可能になる。これにより、クラスタのセキュリティリスクを低減できるという。

Kubernetes v1.31で非推奨化または削除された機能

 Kubernetes v1.31では、以下の機能が非推奨化または削除されている。

  • cgroup v1をメンテナンスモードに移行
  • Nodeの.status.nodeInfo.kubeProxyVersionフィールドを非推奨化
  • kubeletの--keep-terminated-pod-volumesフラグを削除
  • CephFSボリュームプラグインを削除
  • Ceph RBDボリュームプラグインを削除
  • kube-schedulerにおける非CSIボリューム制限プラグインを非推奨化(AzureDiskLimits、CinderLimts、EBSLimits、GCEPDLimitsが含まれる)

 Kubernetes v1.31は、GitHubやKubernetes.ioのリリースページからダウンロードできる。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。