作者： Jonathan Dobson (Red Hat) CSI 内联存储卷是在 Kubernetes 1.15 中作为 Alpha 功能推出的，并从 1.16 开始成为 Beta 版本。 我们很高兴地宣布，这项功能在 Kubernetes 1.25 版本中正式发布（GA）。 CSI 内联存储卷与其他类型的临时卷相似，如 configMap、downwardAPI 和 secret。 重要的区别

作者: David Porter (Google), Mrunal Patel (Red Hat) Kubernetes 1.25 将 cgroup v2 正式发布（GA）， 让 kubelet 使用最新的容器资源管理能力。 什么是 cgroup？ 有效的资源管理是 Kubernetes 的一个关键方面。 这涉及管理节点中的有限资源，例如 CPU、内存和存储。 cgroups 是一种可建立资源管理

作者： Sidhartha Mani (Minio, Inc) 本文介绍了容器对象存储接口 (COSI)，它是在 Kubernetes 中制备和使用对象存储的一个标准。 它是 Kubernetes v1.25 中的一个 Alpha 功能。 文件和块存储通过 Container Storage Interface (CSI) 被视为 Kubernetes 生态系统中的一等公民。 使用 CSI 卷的工

作者： Dan Winship (Red Hat) 译者： Xin Li (DaoCloud) 一些 Kubernetes 组件（例如 kubelet 和 kube-proxy）在执行操作时，会创建特定的 iptables 链和规则。 这些链从未被计划使其成为任何 Kubernetes API/ABI 保证的一部分， 但一些外部组件仍然使用其中的一些链（特别是使用 KUBE-MARK-MASQ 将

作者：Pushkar Joglekar (VMware) Kubernetes 社区有一个长时间未解决的需求，即为最终用户提供一种编程方式来跟踪 Kubernetes 安全问题（也称为 “CVE”，这来自于跟踪不同产品和供应商的公共安全问题的数据库）。 随着 Kubernetes v1.25 的发布，我们很高兴地宣布以 alpha 特性的形式推出这样的订阅源。 在这篇博客中将介绍这项新服务的背景和

作者： Deep Debroy (Apple) Kubernetes 1.25 引入了对 kubelet 所管理的新的 Pod 状况 PodHasNetwork 的 Alpha 支持， 该状况位于 Pod 的 status 字段中 。对于工作节点，kubelet 将使用 PodHasNetwork 状况从容器运行时 （通常与 CNI 插件协作）创建 Pod 沙箱和网络配置的角度准确地了解 Pod

作者： Ravi Gudimetla (Apple)、Filip Křepinský (Red Hat)、Maciej Szulik (Red Hat) 这篇博客描述了两个特性，即用于 StatefulSet 的 minReadySeconds 以及用于 DaemonSet 的 maxSurge， SIG Apps 很高兴宣布这两个特性在 Kubernetes 1.25 进入稳定阶段。 当 .sp

作者: Rodrigo Campos（Microsoft）、Giuseppe Scrivano（Red Hat） Kubernetes v1.25 引入了对用户名字空间的支持。 这是在 Kubernetes 中运行安全工作负载的一项重大改进。 每个 Pod 只能访问系统上可用 UID 和 GID 的有限子集， 因此添加了一个新的安全层来保护 Pod 免受运行在同一系统上的其他 Pod 的影响。 它

作者： Abdullah Gharaibeh（谷歌），Aldo Culquicondor（谷歌） 无论是在本地还是在云端，集群都面临着资源使用、配额和成本管理方面的实际限制。 无论自动扩缩容能力如何，集群的容量都是有限的。 因此，用户需要一种简单的方法来公平有效地共享资源。 在本文中，我们介绍了 Kueue， 这是一个开源作业队列控制器，旨在将批处理作业作为一个单元进行管理。 Kueue 将 Po

作者 ：Frederico Muñoz (SAS) 变化是 Kubernetes 生命周期不可分割的一部分：随着 Kubernetes 成长和日趋成熟， 为了此项目的健康发展，某些功能特性可能会被弃用、移除或替换为优化过的功能特性。 Kubernetes v1.26 也做了若干规划：根据 v1.26 发布流程中期获得的信息， 本文将列举并描述其中一些变更，这些变更目前仍在进行中，可能会引入更多变更

作者: Adrian Reber (Red Hat) 取证容器检查点（Forensic container checkpointing）基于 CRIU（Checkpoint/Restore In Userspace ，用户空间的检查点/恢复）， 并允许创建正在运行的容器的有状态副本，而容器不知道它正在被检查。容器的副本，可以在沙箱环境中被多次分析和恢复，而原始容器并不知道。 取证容器检查点是作为一

作者： Sascha Grunert 译者： XiaoYang Zhang (HUAWEI) Kubernetes 特别兴趣小组 SIG Release 自豪地宣布，我们正在对所有发布工件进行数字签名，并且 Kubernetes 在这一方面现已达到 Beta。 签名工件为终端用户提供了验证下载资源完整性的机会。 它可以直接在客户端减轻中间人攻击，从而确保远程服务工件的可信度。 过去工作的总体目标是

作者: Patrick Ohly (Intel)、Kevin Klues (NVIDIA) 译者： 空桐 动态资源分配是一个用于请求资源的新 API。 它是对为通用资源所提供的持久卷 API 的泛化。它可以： 在不同的 pod 和容器中访问相同的资源实例， 将任意约束附加到资源请求以获取你正在寻找的确切资源， 通过用户提供的参数初始化资源。 第三方资源驱动程序负责解释这些参数，并在资源请求到来时跟

作者： Xing Yang (VMware), Ashutosh Kumar (VMware) 译者： Xin Li (DaoCloud) Kubernetes v1.24 引入 了用于处理节点非体面关闭改进的 Alpha 质量实现。 什么是 Kubernetes 中的节点关闭 在 Kubernetes 集群中，节点可能会关闭。这可能在计划内发生，也可能意外发生。 你可能计划进行安全补丁或内核升级

作者： Fabio Bertinatto (Red Hat), Hemant Kumar (Red Hat) 译者： Xin Li (DaoCloud) 将 fsGroup 委托给 CSI 驱动程序管理首先在 Kubernetes 1.22 中作为 Alpha 特性引入， 并在 Kubernetes 1.25 中进阶至 Beta 状态。 对于 Kubernetes 1.26，我们很高兴地宣布此特性

作者： Wei Huang (Apple), Abdullah Gharaibeh (Google) 译者： XiaoYang Zhang (HuaWei) Kubernetes 1.26 引入了一个新的 Pod 特性：调度门控。 在 Kubernetes 中，调度门控是通知调度器何时可以考虑 Pod 调度的关键。 它解决了什么问题？ 当 Pod 被创建时，调度器会不断尝试寻找适合它的节点。这个无

作者： Francesco Romani (Red Hat) 译者： Michael Yao (DaoCloud) CPU 管理器是 kubelet 的一部分；kubelet 是 Kubernetes 的节点代理，能够让用户给容器分配独占 CPU。 CPU 管理器自从 Kubernetes v1.10 进阶至 Beta， 已证明了它本身的可靠性，能够充分胜任将独占 CPU 分配给容器，因此采用率稳

作者： Takafumi Takahashi (Hitachi Vantara) 译者： Michael Yao (DaoCloud) 上个月发布的 Kubernetes v1.26 引入了一个 Alpha 特性，允许你在源数据属于不同的名字空间时为 PersistentVolumeClaim 指定数据源。启用这个新特性后，你在新 PersistentVolumeClaim 的 dataSourc

作者： Roman Bednář (Red Hat) 译者： Michael Yao (DaoCloud) Kubernetes v1.25 引入了一个 Alpha 特性来更改默认 StorageClass 被分配到 PersistentVolumeClaim (PVC) 的方式。 启用此特性后，你不再需要先创建默认 StorageClass，再创建 PVC 来分配类。 此外，任何未分配 Stor

作者： Filip Křepinský (Red Hat), Morten Torkildsen (Google), Ravi Gudimetla (Apple) 译者： Michael Yao (DaoCloud) 确保对应用的干扰不影响其可用性不是一个简单的任务。 上个月发布的 Kubernetes v1.26 允许针对 PodDisruptionBudget (PDB) 指定不健康 Pod