帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
查看 Kubernetes 版本标准支持的发布说明
提示
注册参加
本主题介绍有关标准支持中每个 Kubernetes 版本需要注意的重要更改。升级时,请仔细检查集群新旧版本之间发生的变化。
Kubernetes 1.35
Kubernetes 1.35 现已在 Amazon EKS 中可用。有关 Kubernetes 1.35 的更多信息,请参阅官方发布公告
重要
-
Cgroup v1 支持已移除:Kubernetes 1.35 版本弃用了对 cgroup v1 的支持,这意味着在使用 cgroup v1 的节点上,kubelet 默认情况下将拒绝启动。
-
AL2023:AL2023 默认使用 cgroup v2,并且与 Kubernetes 的上游行为保持一致。
-
需要执行的操作:手动将 AL2023 配置为使用 cgroup v1 的客户必须迁移到 cgroups v2
或在 kubelet 配置中手动设置 failCgroupV1: false。
-
-
Bottlerocket:Bottlerocket 1.35 版本默认使用 cgroup v2,但在 kubelet 配置中设置了
failCgroupV1: false,从而保持了向后兼容性。 -
Fargate:Fargate 继续使用 cgroup v1。
-
-
Containerd 1.x 停止支持:Kubernetes 1.35 是最后一个支持 containerd 1.x 的版本。在升级到下一个 Kubernetes 版本之前,您必须切换到 containerd 2.0 或更高版本。
-
2026 年 3 月,上游 Kubernetes 项目将停用 Ingress NGINX,这是许多 Kubernetes 环境的关键基础设施组件。
-
需要执行的操作:EKS 用户应当评估自身是否依赖 Ingress NGINX,并着手规划向 Gateway API 或第三方 Ingress 控制器等替代方案的迁移,因为该产品在停用后将不再有针对漏洞修复、安全补丁或更新进行后续版本发布。现有部署将继续有效,但在停用后仍使用 Ingress NGINX 会使您的环境面临安全风险,因为现有的所有替代方案都无法直接无缝替换原方案,因此需要投入规划和设计时间。有关本次 Kubernetes 公告的更多信息,请参阅 Kubernetes 指导和安全响应委员会 Ingress NGINX 停用
方面的官方声明。
-
-
就地容器组(pod)资源更新(稳定):就地容器组(pod)资源更新使用户能够在不重启容器组(pod)或容器的情况下调整 CPU 和内存资源。以前,此类修改需要重新创建容器组(pod),这可能会对工作负载造成干扰,尤其是对于有状态应用程序或批处理应用程序。新的就地功能实现了更流畅、无干扰的垂直扩缩,提高了效率,并且还能简化开发过程。
-
有关更多信息,请参阅 Kubernetes 博客上的 Kubernetes 1.35:就地容器组(pod)大小调整升级到稳定状态
。
-
-
PreferSameNode 流量分布(稳定):服务的
trafficDistribution字段已更新,可以更明确地控制流量路由。引入了一个新选项PreferSameNode,使服务能够在可用时严格优先使用本地节点上的端点,否则则返回至远程端点。此更改使 API 更明确地表明更倾向于使用当前节点内的流量。 -
StatefulSet MaxUnavailable(测试版):此功能通过设置
maxUnavailable(例如 3 或 10%)来实现并行容器组(pod)更新,使数据库集群等有状态应用程序的更新速度最多比连续单次更新快 60%,从而大大缩短维护窗口。 -
Windows Server 2025 支持:EKS 1.35 增加了对 Windows Server 2025 的支持。
-
Kubelet 标志移除:
--pod-infra-container-image标志已从 kubelet 移除。自定义 AMI 用户在升级到 1.35 版本之前,必须从 kubelet 配置中删除此标志。 -
弃用通知 - IPVS 模式:kube-proxy 中的 IPVS 模式已被弃用,并将在 Kubernetes 1.36 中移除。
有关完整的 Kubernetes 1.35 更改日志,请参阅 https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.35.md
Kubernetes 1.34
Kubernetes 1.34 现已在 Amazon EKS 中可用。有关 Kubernetes 1.34 的更多信息,请参阅官方发布公告
重要
-
Containerd 在版本 1.34 中更新到 2.1 以供发布。
-
如果您在升级后遇到任何问题,请查看 containerd 2.1 发行说明
。
-
-
Amazon 没有发布适用于 Kubernetes 1.34 的 EKS 优化版 Amazon Linux 2 AMI。
-
Amazon 鼓励您迁移到 Amazon Linux 2023。了解如何从 Amazon Linux 2 升级到 Amazon Linux 2023。
-
有关更多信息,请参阅 Amazon Linux 2 AMI 弃用。
-
-
AppArmor 在 Kubernetes 1.34 中已被弃用。
-
VolumeAttributesClass(VAC)在 Kubernetes 1.34 中升级到 GA,并从测试版 API (
storage.k8s.io/v1beta1) 迁移到稳定版 API (storage.k8s.io/v1)。-
如果您将 EBS CSI 驱动程序与 Amazon 托管的 Sidecar 容器一起使用(来自 ECR 映像浏览馆上的 CSI 组件
),则卷修改将继续在 EKS 1.31-1.33 集群上无缝进行。Amazon 将在 EKS 1.33 标准支持结束(2026 年 7 月 29 日)之前修补 Sidecar 以支持测试版 VAC API。 -
如果您自行管理 CSI Sidecar 容器,则可能需要在 1.34 之前的集群上固定到较旧的 Sidecar 版本以维持 VAC 功能。
-
要使用 GA VolumeAttributesClass 功能(例如修改回滚),请升级到 EKS 1.34 或更高版本。
-
-
服务账户令牌的外部 JWT 签名器已升级为测试版。使用外部签名器时,不再完全遵循 --service-account-extend-token-expiration 标志。API 服务器强制执行所需延期(1 年)和外部签名器限制(24 小时)之间的最短有效期。
-
我们建议使用绑定的服务账户令牌
,这些令牌由 Kubernetes 自动挂载并进行轮换。
-
-
动态资源分配(DRA)核心 API(GA):动态资源分配已升级到稳定版,通过标准化的分配接口实现了对 GPU 等专业硬件的高效管理,从而简化了硬件加速器的资源管理并提高了专业资源的利用率。
-
适用于 Kubelet 的 ServiceAccount 投射式令牌(测试版):此增强功能使用短期凭证(而不是长期密码)提取容器映像,以提高安全性,从而降低凭证泄露的风险并增强集群的整体安全状况。
-
容器组(pod)级别资源请求和限制(测试版):此功能允许多容器容器组(pod)共享资源池,从而简化资源管理,并为具有多个容器的复杂应用实现更高效的资源分配和利用。
-
可变 CSI 节点可分配数(测试版):在 EKS 1.34 中,该
MutableCSINodeAllocatableCount功能开关默认已启用,使 CSInode 最大可附加卷计数属性可变,并引入了一种在 CSI 驱动程序级别根据用户配置动态更新该属性的机制。这些更新可以按定期间隔触发,也可以在检测到故障时触发,从而通过解决节点上报告的附加容量与实际附加容量之间的不一致问题,来增强有状态容器组(pod)调度的可靠性。-
有关更多信息,请参阅 Kubernetes 博客上的 Kubernetes v1.34:可变 CSI 节点可分配数
。
-
-
弃用通知 – cgroup 驱动程序配置:已弃用手动 cgroup 驱动程序配置,转而使用自动检测。
-
客户影响:如果您目前在 kubelet 配置中手动设置了
--cgroup-driver标志,则应准备好移除此配置。 -
所需操作:计划在未来的 Kubernetes 版本中移除该功能之前,更新节点引导脚本和自定义 AMI 配置以移除手动 cgroup 驱动程序设置。
-
有关更多信息,请参阅 cgroup 驱动程序文档
。
-
有关完整的 Kubernetes 1.34 更改日志,请参阅 https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.34.md
Kubernetes 1.33
Kubernetes 1.33 现已在 Amazon EKS 中可用。有关 Kubernetes 1.33 的更多信息,请参阅官方发布公告
重要
-
动态资源分配测试版 Kubernetes API 已启用。
-
此测试版 API 改善了调度和监控需要 GPU 等资源的工作负载的体验。
-
此测试版 API 由 Kubernetes 社区定义,以后的 Kubernetes 版本中可能会有变化。
-
仔细查看 Kubernetes 文档中的功能阶段
,了解使用测试版 API 的含义。
-
-
Amazon 没有发布适用于 Kubernetes 1.33 的 EKS 优化版 Amazon Linux 2 AMI。
-
Amazon 鼓励您迁移到 Amazon Linux 2023。了解如何从 Amazon Linux 2 升级到 Amazon Linux 2023。
-
有关更多信息,请参阅 Amazon Linux 2 AMI 弃用。
-
-
就地容器组(pod)资源调整大小(测试版):就地资源调整已升级为测试版,允许在不重启的情况下动态更新现有容器组(pod)的 CPU 和内存资源,从而可以在零停机时间的情况下垂直扩缩有状态工作负载,并根据流量模式进行无缝资源调整。
-
附加容器现已稳定:附加容器已升级到稳定状态,使用
restartPolicy: Always将附加容器作为特殊的初始化容器实施,其在应用程序容器之前启动,在整个容器组(pod)生命周期中运行,并支持操作状态信令的探测器。-
有关更多信息,请参阅 Kubernetes 文档中的 Sidecar Containers
。
-
-
端点 API 弃用:端点 API 现已正式弃用,访问时将返回警告 – 可迁移工作负载和脚本,改用 EndpointSlices API,后者支持双堆栈联网等现代功能,并且每项服务可以处理多个 EndPointSlice。
-
有关更多信息,请参阅 Kubernetes 博客上的 Kubernetes v1.33: Continuing the transition from Endpoints to EndpointSlice
。
-
-
Elastic Fabric Adapter 支持:Amazon EKS 集群的默认安全组现在支持 Elastic Fabric Adapter(EFA)流量。默认安全组包含一条新的出站规则,该规则允许目标为同一安全组的 EFA 流量。这允许集群内的 EFA 流量。
-
有关更多信息,请参阅《Amazon Elastic Compute Cloud 用户指南》中的适用于 Amazon EC2 上 AI/ML 和 HPC 工作负载的 Elastic Fabric Adapter。
-
有关完整的 Kubernetes 1.33 更改日志,请参阅 https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.33.md
Kubernetes 1.32
Kubernetes 1.32 现已在 Amazon EKS 中可用。有关 Kubernetes 1.32 的更多信息,请参阅官方发布公告
重要
-
FlowSchema 和 PriorityLevelConfiguration 的
flowcontrol.apiserver.k8s.io/v1beta3API 版本已在版本1.32中移除。如果您使用这些 API,则必须先更新配置以使用支持的最新版本,然后才能升级。 -
ServiceAccount
metadata.annotations[kubernetes.io/enforce-mountable-secrets]已在版本1.32中弃用,并将在未来的 Kubernetes 次要版本发布时移除。建议使用单独的命名空间来隔离对已附加密钥的访问。 -
Kubernetes 版本
1.32是 Amazon EKS 将为其发布 Amazon Linux 2(AL2)AMI 的最后一个版本。从版本1.33起,Amazon EKS 将继续发布基于 Amazon Linux 2023(AL2023)和 Bottlerocket 的 AMI。
-
在 Kubernetes 版本
1.32中,内存管理器功能已升级为正式发布(GA)功能。此增强功能可为容器化应用程序提供了更高效、更可预测的内存分配,对于具有特定内存要求的工作负载尤其实用。 -
StatefulSets 创建的 PersistentVolumeClaims(PVC)现在包含自动清理功能。不再需要的 PVC 将被自动删除,同时在 StatefulSet 更新和节点维护操作期间保持数据持久性。此功能简化了存储管理,有助于防止集群中出现孤岛 PVC。
-
推出了自定义资源字段选择器功能,让开发人员能够向自定义资源添加字段选择器。此功能为自定义资源提供了与内置 Kubernetes 对象相同的筛选功能,从而实现了更精确、更高效的资源筛选,并促进了更好的 API 设计实践。
有关完整的 Kubernetes 1.32 更改日志,请参阅 https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.32.md
匿名身份验证更改
从 Amazon EKS 1.32 开始,匿名身份验证将仅限于以下 API 服务器运行状况检查端点:
-
/healthz -
/livez -
/readyz
使用 system:unauthenticated 用户向任何其他端点发出的请求都将收到 401 Unauthorized HTTP 响应。此安全增强功能有助于防止由于 RBAC 策略配置错误而可能发生的意外集群访问。
注意
public-info-viewer RBAC 角色继续适用于上面列出的运行状况检查端点。
Amazon Linux 2 AMI 弃用
Kubernetes 版本 1.32 是 Amazon EKS 将为其发布 AL2 AMI 的最后一个版本。从 1.33 起,Amazon EKS 将继续发布基于 AL2023 和 Bottlerocket 的 AMI。有关更多信息,请参阅 EKS AL2 和 AL2 加速型 AMI 过渡功能指南。