Container Service for Kubernetes:Kubernetes 1.30リリースノート

PreStopフックにスリープモードが追加されています。 このモードでは、コンテナが終了する前に指定された期間一時停止できます。 詳細については、「KEP-3960: PreStopフックのスリープアクションの紹介」をご参照ください。

SidecarContainers機能はベータ版に達し、デフォルトで有効になっています。 この機能を使用すると、restartPolicyをAlwaysに設定して、initコンテナーをサイドカーコンテナーとして実行できます。 Sidecarコンテナーは、メインアプリケーションコンテナーやその他のinitコンテナーに影響を与えることなく、独立して開始、停止、および再起動できます。 詳細については、「サイドカーコンテナ」をご参照ください。

サービスCIDRは、ClusterIPサービスのIPアドレス範囲を動的に指定するためにサポートされています。 この機能はAlphaに達し、デフォルトで無効になっています。 サービスで使用可能なIPアドレスの数を動的に増やす方法の詳細については、「KEP-1880: 複数のサービスCIDR」をご参照ください。

Persistent volume要求 (PVC) とコンテナーAPIは、同じResourceRequirements構造を使用して、リソース要求と制限を定義します。 その結果、コンテナAPIのリソース構造が変更された場合、たとえば、クレームフィールドが追加された場合、PVC APIのリソース構造も変更されます。 この問題を防ぐために、PVC APIは、リクエストと制限のみで構成される独立したVolumeResourceRequirements構造を使用するようになりました。 構造はクレームではありません。 詳細については、「ボリュームリソースの要件」をご参照ください。

PodReadyToStartContainers機能はベータ版に達し、デフォルトで有効になっています。 この機能は、ポッドのサンドボックス化されたランタイム環境が作成され (ランタイム環境の準備ができました) 、ネットワークが構成されていることを示します。 これにより、kubeletはポッドのステータスを知ることができます。 詳細については、「ポッド条件」をご参照ください。

ポッドアフィニティとポッドアンチアフィニティはmatchLabelKeysとmismatchLabelKeysをサポートして、デプロイのローリング更新中にスケジューラが古いポッドと新しいポッドを区別できないという問題を解決します。 この問題が発生すると、ポッドはポッドアフィニティまたはポッドアンチアフィニティのルールに基づいてスケジュールされません。 ポッドアフィニティのmatchLabelKeysを構成すると、デプロイによってpod-template-hashラベルがReplicaSetに追加されます。 このように、Deploymentの各ポッドは同じハッシュ文字列を持ちます。 これにより、スケジューラは、同じ更新バッチ内のポッドを区別するために、同じpod-template-hash値を持つポッドを評価することができます。 詳しくは、「KEP-3633」をご参照ください。

コアKubernetes APIリソースに加えて、ValidatingAdmissionPoliciesはCustomResourceDefinitions (CRD) とAPI拡張機能もサポートしています。 これにより、ポリシーの信頼性とクラスター構成の有効性が確保されます。 詳細については、「タイプチェック」をご参照ください。

UserNamespacesPodSecurityStandards機能ゲートが追加され、ユーザー名前空間がPod Security Standardsをサポートできるようになりました。 この機能ゲートを有効にすると、root以外のユーザーIDまたはポッドセキュリティコンテキストで指定されたユーザーIDを使用してコンテナーを実行できます。 このフィーチャゲートはAlphaに達しており、デフォルトではfalseに設定されています。 特徴ゲートは、後のバージョンでは偽状態のままであってもよい。 詳細については、「KEP-127: フィーチャゲートに基づくPSSの更新」をご参照ください。

ノードオブジェクトにDisableNodeKubeProxyVersion機能ゲートが追加されました。 status.nodeInfo.kubeProxyVersionフィールドは非推奨です。 これは、Kubernetesのノードに対してkubeProxyVersionフィールドが無効になっていることを意味します。 kubeletが正しいkube-proxyバージョンを認識できない場合があります。 したがって、このフィールドの値は不正確です。 このフィーチャゲートはAlphaに達しており、デフォルトではfalseに設定されています。

JobBackoffLimitPerIndex機能ゲートはベータに達し、デフォルトでtrueに設定されています。 この機能ゲートを使用すると、インデックス付きジョブの各インデックスの再試行の最大試行回数を指定できます。 インデックス付きジョブの詳細については、「静的作業割り当てによる並列処理のインデックス付きジョブ」をご参照ください。

ImageMaximumGCAgeを使用すると、kubeletを使用して、ガベージコレクションの前に未使用のイメージの最大TTLを設定できます。 TTLが終了しても画像が使用されない場合、画像はガベージコレクションによって削除されます。 デフォルト値は「0」です。これは、TTLが設定されていないことを意味します。 この機能ゲートは、Kubernetes 1.29でAlphaに達し、Kubernetes 1.30でBetaに達しました。

image_pull_duration_secondsメトリックがkubeletに追加され、イメージプル時間が追跡されます。 詳細については、「アルファKubernetesメトリクスのリスト」をご参照ください。

LegacyServiceAccountTokenCleanUp機能ゲートはGAに達し、デフォルトで有効になっています。 ServiceAccountに関連付けられた自動生成されたSecretが一定期間 (デフォルトでは1年) 内に使用されず、ポッドにマウントされていない場合、kube-controller-managerはkubernetes.io/legacy-token-invalid-sinceラベルをシークレットに追加します。 シークレットは無効としてマークされます。 ラベル値は現在の日付です。 シークレットが無効としてマークされた日から、一定期間 (デフォルトでは1年) 内にまだ使用されていない場合、kube-controller-managerはシークレットを自動的に削除します。 このラベルがあるが削除されていないSecretsの場合、kubernetes.io/legacy-token-invalid-sinceラベルを削除して、Secretsを再度有効にすることができます。 詳細については、「自動生成されたレガシーServiceAccount token clean up」および「legacy ServiceAccount token cleaner」をご参照ください。

Kubernetes 1.30で、-- nodeport-addressがkube-proxyに設定されていない場合 (このフラグはデフォルトでは設定されていません) 、NodePort Serviceの更新により、すべてのノードIPアドレスが更新されるのではなく、プライマリノードIPアドレスのみが更新されます。 詳細については、「 #122724」をご参照ください。

構成の競合とセキュリティの問題を防ぐために、OIDC発行者URLとAPIサーバーServiceAccount発行者URLを同じパラメーターで構成しないでください。 詳細については、「 #123561」をご参照ください。

LoadBalancerIPMode機能ゲートを使用すると、. status.loadBalancer.ingress.ipModeフィールドをLoadBalancerサービスに設定し、指定したロードバランサーIPアドレスに送信されるリクエストの転送アクションを指定します。 このフィールドは、. status.loadBalancer.ingress.ipフィールドを指定します。 LoadBalancerIPMode機能ゲートがベータに達しました。 詳細については、「ロードバランサーステータスのIPModeの指定」および「ロードバランサーIP Mode For Services」をご参照ください。

ContainerResourceメトリクスに基づく水平ポッドオートスケーラー (HPA) は、Kubernetes 1.30で安定に達しました。 これにより、HPAは、ポッドのリソース使用量に基づいてスケーリングするのではなく、ポッド内の各コンテナのリソース使用量に基づいて自動スケーリングを構成できます。 このようにして、ポッド内の重要なコンテナに対してスケーリングしきい値を個別に設定できます。 詳細については、「Container resource metrics」をご参照ください。

AdmissionWebhookMatchConditionsフィーチャーゲートがGAに達し、デフォルトで有効になっています。 この機能ゲートは無効にできません。 この機能ゲートを使用すると、承認Webhookの一致条件を定義して、Webhookをよりきめ細かくトリガーできます。 詳細については、「ダイナミックアドミッションコントロール」をご参照ください。

JobSuccessPolicy機能ゲートは、ジョブに属するポッドのグループが成功したときにジョブが完了したことを要求するために追加されます。 ジョブが完了したことを示す特定のインデックス (ポッドインデックスX、Y、Zなど) またはインデックスの数 (3つなど) を指定できます。 この機能ゲートはアルファに達しました。 詳細については、「ジョブの成功 /完了ポリシー」をご参照ください。

RelaxedEnvironmentVariableValidation機能ゲートは、等号 (=) を除いて、環境変数で使用されるほとんどの印刷可能なASCII文字 (32から126までのすべての文字) を制御するために追加されます。 この機能ゲートはAlphaに達し、デフォルトで無効になっています。 詳細については、「 #123385」をご参照ください。

CustomResourceFieldSelectors機能ゲートを追加して、CRDのselectableFieldsを設定します。 このようにして、特定の条件を満たすCRDを見つけたり管理したりするために、Field Selectorsを訴えてList、Watch、DeleteCollectionリクエストをフィルタリングできます。 この機能ゲートはAlphaに達し、デフォルトで無効になっています。 詳細については、「カスタムリソースフィールドセレクタ」をご参照ください。

CRDValidationRatcheting機能ゲートのアップデートがリリースされました。 新しいCRD検証ラチェットが追加された後、既存のリソースが更新後に無効になった場合でも、検証に失敗したリソースが更新されない場合、APIサーバーはリソースの更新をブロックしません。 これにより、既存のリソースやユーザーへの影響を回避できます。 このように、CRDは、移行中にOpenAPI v3スキーマを介して検証できます。 この機能ゲートはベータに達し、デフォルトで有効になっています。 詳細については、「CRD検証ラチェット」をご参照ください。

Downward APIはstatus.hostIPsフィールドを使用してIPv4/IPv6デュアルスタックをサポートします。 status.hostIPリストの最初のIPアドレスは、常にstatus.hostIPと同じです。 詳細については、「Downward API」をご参照ください。

NodeLogQuery機能ゲートを使用すると、/logsエンドポイントを使用してノードサービスログを照会できます。 この機能ゲートはベータに達しており、デフォルトではfalseに設定されています。 詳細は、「ログクエリ」をご参照ください。

CronJobsはサポートしなくなりました。CRON_TZまたはTZ設定で. spec.schedule. . spec.timeZoneフィールドは代替として使用されます。 このフィールドは、Kubernetes 1.25以降のバージョンで使用できます。 詳細については、「CronJobの制限」をご参照ください。

Alphaのネットワーク /v1alpha API ClusterCIDRが削除されました。

kubectl applyコマンドの -- prune-whitelistパラメーターが削除されました。 -- prune-allowlistを使用することを推奨します。 詳細については、「 -- prune」をご参照ください。

承認プラグインはKubernetes 1.27では廃止され、Kubernetes 1.30では削除されます。 PodSecurityの承認プラグインを使用することを推奨します。 このプラグインはKubernetes 1.25でStableに達しており、デフォルトで有効になっています。 詳細については、「PodSecurity」をご参照ください。