Kubernetesプロジェクトは、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Kubernetesプロジェクトは2024年8月13日(米国時間)、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。
Kubernetes v1.31では、45の機能強化が行われている。Kubernetesプロジェクトはv1.31の主なアップデートを次のように説明している。
Linuxのセキュリティ機能であるAppArmorに対応した。securityContextでappArmorProfile.typeを設定することで、AppArmorを使用してコンテナを保護できる。
... containers: - name: container-1 securityContext: appArmorProfile: type: RuntimeDefault
kube-proxyを用いた外部からの接続の安定性が大きく改善され、ロードバランサーによる接続切り替えがスムーズに行われるようになった。
永続ボリューム(PersistentVolume)の状態が変化した時刻を記録する機能が追加された。全ての永続ボリュームオブジェクトに.status.lastTransitionTimeが追加され、ボリュームの状態(Pending、Bound、Released)が変化した時刻を記録、追跡できる。
nftablesはiptablesの次世代版として開発されており、iptablesと比べてサービスエンドポイントの変更を迅速かつ効率的に処理できる。v1.31ではkube-proxyでのnftablesサポートがβに昇格した。NFTablesProxyModeという設定項目で制御可能であり、デフォルトで有効化されている。
永続ボリュームのreclaimポリシーを常に尊重する機能がβに昇格した。PersistentVolumeClaim(PVC:永続ボリューム要求)の削除後も、reclaimポリシーの「Delete」が適用され、ストレージオブジェクトを確実に削除するという。
PodではなくNodeにのみバインドされたトークンを要求、発行可能になるServiceAccountTokenNodeBindingがβに昇格した。このトークンにはNodeに関する情報が含まれており、トークン使用時にNodeの存在を検証できるようになる。
Kubernetesクラスタ内のサービスはクラスタ作成時に設定された一つのCIDR(Classless Inter-Domain Routing)に依存しており、大規模クラスタや長期間運用されているクラスタでは、IPアドレスの枯渇に対処するためのメンテナンスが課題となっていた。
v1.31ではダウンタイムなしでCIDRを動的に変更できる、複数のサービスCIDRを持つクラスタのサポートがβに昇格した。この機能はデフォルトで無効となっている。
サービスのトラフィック分散を効率化するためのtrafficDistributionがv1.31でβに昇格し、デフォルトで有効化された。
VolumeAttributesClassは、動的なボリュームパラメーターを修正するための汎用(はんよう)APIだ。Kubernetes v1.29からα版として提供されており、v1.31でβに昇格した。
DRA API(Dynamic Resource Allocation:動的リソース割り当て)とその設計が更新された。DRA APIを用いることで、Podのスケジューリング時にリソースの効率的な割り当てが可能になる。
AI(人工知能)や機械学習(ML)のユースケースに対応するため、Open Container Initiative(OCI)互換のイメージをPod内のボリュームとして直接サポートする。
各Podのステータスを通じてデバイスの健全性情報を公開する機能がαとして追加された。この機能を有効化すると、各PodのコンテナステータスにallocatedResourcesStatusの項目が追加され、コンテナに割り当てられた各デバイスの健全性情報を確認できるようになる。
Webhookオーソライザーがラベルやフィールドセレクタを使用して特定リソースに対してlistやwatchリクエストを細かく制御できる。特定のNodeに割り当てられたPodや機密ラベルの付いていないSecretのみをリスト、監視することを認可するといった対応が可能になるという。
feature-gatesを使用して、AnonymousAuthConfigurableEndpointsを有効化することで、認証設定ファイルを使用して匿名リクエストのアクセス制御が可能になる。これにより、クラスタのセキュリティリスクを低減できるという。
Kubernetes v1.31では、以下の機能が非推奨化または削除されている。
Copyright © ITmedia, Inc. All Rights Reserved.