k8s1.25的变化

此版本带来了 40 项增强功能，略少于Kubernetes 1.24中的 46 项。在这 40 项增强功能中，13 项正在升级到稳定版，10 项是对现有功能的不断改进，15 项是全新的，2 项是已弃用的功能。

此版本的亮点是 PodSecurityPolicies 被最终删除，取而代之的是 从毕业到稳定版的 PodSecurity admission。

有几个新的安全特性非常受欢迎，例如对 user namespaces 的支持、取证分析的检查点、安装卷时 SELinux 的改进、NodeExpansion Secret，以及对官方 CVE 提要的改进。

此外，其他功能将使集群管理员更轻松，例如：不可重试的 Pod 故障、KMS v2 改进、更清晰的 IPTables 链所有权、以及更好地处理 PVC 的 StorageClass 默认值。

最后，锦上添花的是这个版本的所有伟大的特性都达到了GA的状态。CSI的迁移已经进行了三年多，现在终于进入了最后阶段。此外，NetworkPolicies的端口范围, Ephemeral卷，并支持Cgroups v2。我们对这个版本非常兴奋!

有很多要谈的，现在让我们开始了解 Kubernetes 1.25 中的新功能。

Kubernetes 1.25 值得一提的功能
这些是在此版本中最令人兴奋的功能（因人而异）：

添加对 user namespaces 的支持
这种增强是 Kubernetes 在大约六年前首次提出的要求。它的目标是Kubernetes 1.5中达到alpha。实现这一特性的必要技术已经存在一段时间了。终于，它出现了，即使现在还处于alpha版本中。

Kubernetes 中的user namespaces有助于放松对工作负载的许多限制，允许使用在其他情况下被认为高度不安全的特性。希望这也将使攻击者更加困难。

取证容器 Checkpointing
容器检查点允许从特定容器创建快照，这样就可以对副本进行分析和调查。在不通知潜在攻击者的情况下，如果您设法在容器被摧毁之前捕获它，那么这将是一个很好的容器取证分析工具。

这不仅将永远改变Kubernetes的取证，而且将为Kubernetes提供安全和事件响应的每一个工具。
————————————————
版权声明：本文为CSDN博主「进击云原生」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/ll837448792/article/details/126491304