Kubernetes v1.36 正式发布：70项增强，用户命名空间GA，容器安全再升级

2026年4月22日，Kubernetes 社区正式发布了 v1.36 版本，代号”ハル”（Haru），意为春天、晴空和遥远的地平线。此版本包含 70 项增强，其中 18 项已进阶至稳定阶段（GA），25 项进入 Beta，25 项进阶至 Alpha。

🔐 细粒度 Kubelet API 鉴权正式 GA

KubeletFineGrainedAuthz 特性门控从 v1.32 的 Alpha、v1.33 的 Beta，终于在 v1.36 达到正式发布。该特性针对 kubelet 的 HTTPS API 实现了更精确、符合最小权限原则的访问控制，替代了过于宽泛的 nodes/proxy 权限。

📦 卷组快照（VolumeGroupSnapshot）正式 GA

此特性允许你同时为多个 PersistentVolumeClaim 创建崩溃一致性快照。卷组快照支持依赖一组用于组快照的扩展 API，用户可以将快照恢复到新卷，基于某个崩溃一致性恢复点进行恢复。

🖥️ 节点日志查询正式 GA

此前，Kubernetes 要求集群管理员通过 SSH 登录节点来调试问题。v1.36 中 NodeLogQuery 特性正式 GA，管理员可以使用 kubelet API 和 kubectl 插件查看 kube-proxy 或 kubelet 日志，无需直接登录节点即可完成故障排查。

👤 用户命名空间支持正式 GA

这一期待已久的特性允许将容器的 root 用户映射到主机上的非特权用户，提供关键的纵深防御层。即使某个进程逃逸出容器，它也不会对底层节点拥有管理权限，极大增强了多租户环境的安全性。

📊 PSI 指标导出正式 GA

压力停滞信息（PSI）指标导出进阶至稳定阶段，kubelet 能够报告 CPU、内存和 I/O 的”压力”指标。相比传统利用率指标，它提供了关于资源竞争的更细粒度视图，帮助区分”繁忙”和”因资源耗尽而停滞”的系统。

🔄 工作负载感知调度（WAS）Alpha

v1.36 引入了一整套 Alpha 阶段的工作负载感知调度特性，将 Job 控制器与修订后的 Workload API 以及新的 PodGroup API 原生集成。组内所有 Pod 要么一起绑定，要么一个都不绑定，实现原子式调度。

🔧 OCI 卷源支持正式 GA

此特性允许 kubelet 直接从任何符合 OCI 标准的仓库拉取和挂载内容。开发者可以将应用数据、模型或静态资产打包为 OCI 制品，使用与容器镜像相同的仓库和版本控制工作流交付给 Pod。

🛡️ MutatingAdmissionPolicy 正式 GA

变更准入策略进阶至稳定阶段，管理员可以使用通用表达式语言（CEL）直接在 API 服务器中定义资源变更，完全替代对外部准入 Webhook 的依赖，降低了延迟和运维复杂性。

⚖️ 动态资源分配（DRA）持续演进

DRA 管理员访问和优先级列表进阶至 GA，为集群管理员全局访问和管理硬件资源提供了永久且安全的框架。同时，可分区设备、可消耗容量等特性进入 Beta，为 GPU 等硬件的细粒度共享提供支持。

🎯 其他亮点

• .kuberc Beta 增强：支持为凭据插件定义策略（允许列表或拒绝列表）
• 可变 Job 资源 Beta：允许在 Job 挂起期间更新 CPU、内存、GPU 等资源请求
• ConstrainedImpersonation Beta：将身份扮演机制收紧为真正遵循最小权限原则
• gogoprotobuf 移除：消除了对无人维护的 gogoprotobuf 库的依赖，提升安全性
• 声明式验证 GA：使用 validation-gen 在 Go 结构体标签中定义复杂验证逻辑

游侠云AI普通

收藏 链接