「Kubernetes v1.31: Elli」公開 セキュリティ向上や運用の効率化につながる45の機能強化を発表:11の機能が正式リリース、22の機能がβに昇格、11の機能がαとして追加
Kubernetesプロジェクトは、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。
Kubernetesプロジェクトは2024年8月13日(米国時間)、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。
Kubernetes v1.31では、45の機能強化が行われている。Kubernetesプロジェクトはv1.31の主なアップデートを次のように説明している。
Kubernetes v1.31で正式リリースされた機能
AppArmorに対応
Linuxのセキュリティ機能であるAppArmorに対応した。securityContextでappArmorProfile.typeを設定することで、AppArmorを使用してコンテナを保護できる。
...
containers:
- name: container-1
securityContext:
appArmorProfile:
type: RuntimeDefault
kube-proxyによる外部からの接続の安定性を改善
kube-proxyを用いた外部からの接続の安定性が大きく改善され、ロードバランサーによる接続切り替えがスムーズに行われるようになった。
永続ボリュームの状態変化時刻の記録に対応
永続ボリューム(PersistentVolume)の状態が変化した時刻を記録する機能が追加された。全ての永続ボリュームオブジェクトに.status.lastTransitionTimeが追加され、ボリュームの状態(Pending、Bound、Released)が変化した時刻を記録、追跡できる。
Kubernetes v1.31でβに昇格した機能
kube-proxyでのnftablesバックエンドの導入
nftablesはiptablesの次世代版として開発されており、iptablesと比べてサービスエンドポイントの変更を迅速かつ効率的に処理できる。v1.31ではkube-proxyでのnftablesサポートがβに昇格した。NFTablesProxyModeという設定項目で制御可能であり、デフォルトで有効化されている。
永続ボリュームのreclaimポリシーの変更
永続ボリュームのreclaimポリシーを常に尊重する機能がβに昇格した。PersistentVolumeClaim(PVC:永続ボリューム要求)の削除後も、reclaimポリシーの「Delete」が適用され、ストレージオブジェクトを確実に削除するという。
バインドされたサービスアカウントトークンの改善
PodではなくNodeにのみバインドされたトークンを要求、発行可能になるServiceAccountTokenNodeBindingがβに昇格した。このトークンにはNodeに関する情報が含まれており、トークン使用時にNodeの存在を検証できるようになる。
複数のサービスCIDRをサポート
Kubernetesクラスタ内のサービスはクラスタ作成時に設定された一つのCIDR(Classless Inter-Domain Routing)に依存しており、大規模クラスタや長期間運用されているクラスタでは、IPアドレスの枯渇に対処するためのメンテナンスが課題となっていた。
v1.31ではダウンタイムなしでCIDRを動的に変更できる、複数のサービスCIDRを持つクラスタのサポートがβに昇格した。この機能はデフォルトで無効となっている。
サービスのトラフィック分散機能
サービスのトラフィック分散を効率化するためのtrafficDistributionがv1.31でβに昇格し、デフォルトで有効化された。
VolumeAttributesClassによるボリューム修正機能
VolumeAttributesClassは、動的なボリュームパラメーターを修正するための汎用(はんよう)APIだ。Kubernetes v1.29からα版として提供されており、v1.31でβに昇格した。
Kubernetes v1.31でαとして追加された機能
アクセラレータなどのハードウェア管理を改善するDRA API
DRA API(Dynamic Resource Allocation:動的リソース割り当て)とその設計が更新された。DRA APIを用いることで、Podのスケジューリング時にリソースの効率的な割り当てが可能になる。
イメージボリュームのサポート
AI(人工知能)や機械学習(ML)のユースケースに対応するため、Open Container Initiative(OCI)互換のイメージをPod内のボリュームとして直接サポートする。
Podステータスを通じたデバイスの健全性情報の公開
各Podのステータスを通じてデバイスの健全性情報を公開する機能がαとして追加された。この機能を有効化すると、各PodのコンテナステータスにallocatedResourcesStatusの項目が追加され、コンテナに割り当てられた各デバイスの健全性情報を確認できるようになる。
セレクターに基づいた細かな認可に対応
Webhookオーソライザーがラベルやフィールドセレクタを使用して特定リソースに対してlistやwatchリクエストを細かく制御できる。特定のNodeに割り当てられたPodや機密ラベルの付いていないSecretのみをリスト、監視することを認可するといった対応が可能になるという。
匿名APIアクセスへの制限
feature-gatesを使用して、AnonymousAuthConfigurableEndpointsを有効化することで、認証設定ファイルを使用して匿名リクエストのアクセス制御が可能になる。これにより、クラスタのセキュリティリスクを低減できるという。
Kubernetes v1.31で非推奨化または削除された機能
Kubernetes v1.31では、以下の機能が非推奨化または削除されている。
- cgroup v1をメンテナンスモードに移行
- Nodeの.status.nodeInfo.kubeProxyVersionフィールドを非推奨化
- kubeletの--keep-terminated-pod-volumesフラグを削除
- CephFSボリュームプラグインを削除
- Ceph RBDボリュームプラグインを削除
- kube-schedulerにおける非CSIボリューム制限プラグインを非推奨化(AzureDiskLimits、CinderLimts、EBSLimits、GCEPDLimitsが含まれる)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Kubernetesのオープンソース化から10年 Kubernetesの活用動向、現在の課題とは? 専門家527人が回答
Portworxと調査会社のDimensional Researchは共同で、Kubernetes専門家527人に対する調査結果をまとめたレポート「The Voice of Kubernetes Experts Report 2024」を発表した。
DBaaSのトレンドは「Kubernetes対応」と「マルチクラウド」 NTTデータ小林氏が語る、クラウドネイティブなデータベースの今と選定のポイント
「@IT Cloud Native Week 2024冬」の基調講演にNTTデータグループ テクニカルリード 小林隆浩氏が登壇。クラウドネイティブ環境でデータベースを選択する上での基礎知識や現在のトレンドと今後の展望を解説した。
コンテナとKubernetesについて知っておくべきこと(前編)
コンテナとKubernetesは、クラウドネイティブアプリケーションを構築し、マルチクラウドを実現するための優れたプラットフォームとして台頭している。企業にさまざまなメリットをもたらすコンテナとKubernetesについて知っておくべきことを、前編と後編の2回に分けてお届けする。