Container Service for Kubernetes:Kubernetes 1.32 リリースノート

コンポーネントバージョン

ACK クラスタは、以下の主要コンポーネントバージョンをサポートしています。

主な変更点

• v1.32 以降、以下の変更が適用されます。

  • CreateCluster インターフェースを介して API 操作を呼び出すことによって ACK クラスタを作成する場合、kube-proxy のデフォルトのプロキシモードは iptables から IP Virtual Server (IPVS) に変更されます。この変更は、新しいクラスタにのみ影響します。 v1.32 にアップグレードされた既存のクラスタは、現在の kube-proxy プロキシモードを保持します。

  • kube-apiserver は、TLS_RSA_WITH_AES_256_GCM_SHA384 および TLS_RSA_WITH_AES_128_GCM_SHA256 Transport Layer Security (TLS) 暗号スイートをサポートしなくなりました。 v1.32 にアップグレードされた既存のクラスタには、この変更が自動的に適用されます。

  • RAM Roles for Service Accounts (RRSA) 機能を有効にすると、kube-apiserver の --api-audiences パラメーターは変更されなくなり、RRSA を有効にする前に設定された構成値が保持されます。この変更は、RRSA を有効にしていないクラスタにのみ影響します。 RRSA を有効にしていて v1.32 にアップグレードされた既存のクラスタは影響を受けません。

  • NVIDIA Device Plugin はコンソールで構成および管理できます。デプロイモードは Static Pod から DaemonSet に移行します。

• ServiceAccount のアノテーション kubernetes.io/enforce-mountable-secrets は、v1.32 で非推奨になりました。 Secrets へのアクセスを分離するために、個別の名前空間を使用することをお勧めします。

• DRAControlPlaneController Feature Gate は、v1.26 以降アルファ版です。デフォルトでは無効になっており、使用できなくなりました。この機能を有効にして使用している場合は、アップグレード後にワークロードが異常にならないように、アップグレード前に関連リソースを削除してください。詳細については、#128003 を参照してください。

• v1.32.7-aliyun.1 では、CVE-2025-4563 が修正されています。

その他のハイライト

• WatchList Feature Gate はベータ版になり、デフォルトで有効になっています。通常、リスト操作はより多くのコントロールプレーンリソースを消費します。 WatchListClient 機能が有効になっていると、client-go クライアントは完全なリスト操作の代わりにストリーミングリクエストを使用できるため、コントロールプレーンリソースの消費が削減されます。 kube-controller-manager コンポーネントは、デフォルトでこの機能を有効にします。詳細については、API ストリーミングによる Kubernetes API サーバーの効率の向上 を参照してください。

• RelaxedEnvironmentVariableValidation Feature Gate はベータ版になり、デフォルトで有効になっています。この機能により、より柔軟な環境変数名が許可され、等号 (=) を除くほぼすべての ASCII 印字可能文字がサポートされます。

• ポッドステータスの表示が最適化されました。イメージのプルに失敗した場合、ポッドの status.containerStatuses[*].state.waiting フィールドには、失敗の理由 (ImagePullBackOff) と具体的な失敗の詳細が記録されます。

• CustomResourceFieldSelectors Feature Gate は、v1.32 で一般提供 (GA) に達し、デフォルトで有効になっています。この機能により、selectableFields をカスタムリソース定義 (CRD) で使用して、CRD リソースをより効率的かつ正確にフィルタリングできます。

• StatefulSetAutoDeletePVC Feature Gate は v1.32 で GA に達し、デフォルトで有効になっています。 StatefulSet で不要になった永続ボリューム要求 (PVC) を自動的にクリーンアップできるため、孤立した PVC の影響が軽減されます。 StatefulSet の更新プロセスとノードのメンテナンス中には、PVC の自動クリーンアップはトリガーされません。

• JobManagedBy Feature Gate はベータ版になり、デフォルトで有効になっています。 spec.managedBy フィールドを構成することにより、ジョブを外部コントローラーで調整できるため、ジョブのスケジューリングと管理の柔軟性が向上します。

  managedBy フィールドは kubernetes.io/job-controller に設定できません。これは組み込みの Kubernetes コントローラー用に予約されているためです。

• すべてのスケジューラプラグインは、QueueingHint 関数を実装しています。この関数は、受信イベントごとにポッドをスケジュール可能にすることができるかどうかをすばやく判断します。これにより、不要なスケジューリング試行が減り、スケジューリングスループットが向上します。詳細については、QueueingHint によってポッドスケジューリングを最適化する新しい可能性がもたらされる を参照してください。

• RecoverVolumeExpansionFailure Feature Gate はベータ版になり、デフォルトで有効になっています。ユーザーは PVC の .spec.resources を手動で削減できるため、PVC は拡張エラーからデータ損失なしですばやく回復できます。詳細については、ボリュームの拡張時のエラーからの回復 を参照してください。

• AuthorizeWithSelectors および AuthorizeNodeWithSelectors Feature Gate はベータ版に昇格され、後者は共同使用のために前者に依存しています。アクティブ化されると、AuthorizeNodeWithSelectors により、ノードオーソライザーは fieldSelector や labelSelector などのより正確な選択演算子を使用できるようになり、Kubernetes システム内の承認の柔軟性が向上します。 kubelet には必須の権限のみが付与され、関連付けられたノードオブジェクトと、そのノードに割り当てられたポッドのみを読み取ることができます。詳細については、ノード承認の使用 を参照してください。

• ポッドログへのクライアントリクエストの PodLogOptions パラメーターには Stream フィールドが含まれています。これにより、ログファイル全体がダウンロードされるのを待たずに、コンテナログをクライアントにリアルタイムでストリーミングできます。 Stream フィールドと TailLines フィールドは同時に使用できないことに注意してください。

• JobController は、特にジョブを広範囲に使用するシナリオで、ジョブの更新と削除の効率を大幅に向上させるように最適化されています。詳細については、#126567、#127228、および #127378 を参照してください。

• kube-proxy は、サービスを更新するときに fieldSelector: clusterIP!=None を使用して、Headless サービスの監視を回避し、不要なネットワーク帯域幅を削減します。詳細については、#126769. を参照してください。

非推奨の API

• flowcontrol.apiserver.k8s.io/v1beta3 API バージョンの FlowSchema および PriorityLevelConfiguration は、v1.32 ではサービス提供されなくなりました。 v1.29 以降利用可能な flowcontrol.apiserver.k8s.io/v1 API バージョンに移行することをお勧めします。

  flowcontrol.apiserver.k8s.io/v1 API バージョンでは、spec.limited.nominalConcurrencyShares フィールド PriorityLevelConfiguration のデフォルト値は、指定されていない場合は 30 です。ただし、明示的に 0 に設定されている場合は、30 に変更されません。

リファレンス

Kubernetes 1.32 の完全な変更ログについては、CHANGELOG-1.32 および Kubernetes v1.32: Penelope を参照してください。