Mr.PlanB Logo
    Was ist Kubernetes? Vollständige Definition

    Kubernetes 1.35: Security-First Release

    Veröffentlicht Dezember 2025

    Dieses Release fühlt sich an, als hätten die Kubernetes-Maintainer endlich die Sicherheits-Checkliste genommen und Jahre von Verbesserungen auf einmal abgearbeitet. 17 sicherheitsrelevante Änderungen, gehärtete Defaults und Legacy-Bereinigung.

    Warum Kubernetes 1.35 wichtig ist

    Kubernetes 1.35 ist subtil massiv für jeden, dem die Härtung seiner Cluster wichtig ist—und etwas nervenaufreibend für jeden, der auf älteres Verhalten angewiesen ist. Es schließt alte Türen, ersetzt veraltete Annahmen und gibt mehr Kontrolle in die Hände von Administratoren, die straffere Kontrolle wollen.

    cgroups v1 offiziell deprecated
    User Namespaces standardmäßig aktiviert
    Gehärtete Zertifikatvalidierung
    Eingeschränkte Impersonation-Kontrollen

    Änderungen, die Probleme verursachen können

    cgroup v1 Unterstützung entfernt

    KEP #5573

    Ab Kubernetes 1.35 ist die Unterstützung für cgroups v1 standardmäßig deaktiviert. Prüfen Sie, ob Ihr Linux-Server cgroups v2 verwendet, bevor Sie aktualisieren.

    Secret-Pulled Images erzwungen

    KEP #2535

    Neues imagePullCredentialsVerificationPolicy-Feld erzwingt Autorisierungsprüfungen für Image-Pulls, auch für gecachte Images.

    SPDY zu WebSockets Übergang

    KEP #4006

    Kubernetes CLI wechselt von SPDY zu WebSockets. API-Server erfordert jetzt 'create'-Berechtigung für Verbindungs-Upgrades.

    Gehärtete Kubelet-Zertifikatvalidierung

    KEP #4872

    API-Server validiert jetzt, dass der Kubelet-Zertifikat-CN mit system:node:<nodename> übereinstimmt, um Impersonation-Angriffe zu verhindern.

    Neue Sicherheitsfunktionen

    Alpha
    KEP #5284

    Eingeschränkte Impersonation

    Benutzer können während der Impersonation keine Aktionen mehr ausführen, die sie selbst nicht ausführen könnten.

    Alpha
    KEP #4828

    Flagz für Kubernetes-Komponenten

    Neuer Endpunkt zeigt Runtime-Flags für Komponenten an und hilft bei der Erkennung von Konfigurationsabweichungen und Sicherheitsrichtlinienverletzungen.

    Alpha
    KEP #5607

    HostNetwork Pods mit User Namespaces

    Pods können jetzt auf das Host-Netzwerk zugreifen und gleichzeitig die User-Namespace-Isolation beibehalten, wodurch das Root-Kompromittierungsrisiko reduziert wird.

    Alpha
    KEP #5538

    CSI-Treiber Opt-In für SA-Tokens

    Service-Account-Tokens werden jetzt über ein neues Secrets-Feld statt VolumeContext geliefert. Least Privilege standardmäßig.

    Jetzt standardmäßig aktiviert

    Diese Verbesserungen sind graduiert und jetzt standardmäßig in Kubernetes 1.35 aktiviert

    Pod-Zertifikate

    KEP #4317

    Vereinfachte Zertifikatsbereitstellung für Pods über die PodCertificateRequest-API.

    User Namespaces für Pods

    KEP #127

    Verbesserte Isolation, die Container-Root von Host-Root trennt.

    OCI-Artefakte als VolumeSource

    KEP #4639

    OCI-Images direkt als Volumes für Konfiguration und Assets mounten.

    Getrennte kubectl-Benutzereinstellungen

    KEP #3104

    Saubere Trennung von Cluster-Konfigurationen und Benutzereinstellungen über kuberc-Datei.

    Gogo Protobuf entfernt

    KEP #5589

    Veraltete Serialisierungsbibliothek entfernt, Sicherheitslage verbessert.

    Strukturierte Authentifizierungskonfiguration

    KEP #3331

    Dateibasierte Authentifizierungskonfiguration mit CEL-Ausdrücken-Unterstützung.

    Feingranulare SupplementalGroups

    KEP #3619

    Strenger Modus ignoriert bösartige /etc/group-Konfigurationen in Container-Images.

    Drop-in Kubelet-Konfigurationsverzeichnis

    KEP #3983

    Linux-artiges Konfigurationsverzeichnis für vorhersagbares Kubelet-Management.

    So planen Sie Ihr Kubernetes 1.35 Upgrade

    Bevor Sie upgraden, überprüfen Sie den offiziellen Upgrade-Leitfaden und berücksichtigen Sie:

    cgroups v2 verifizieren — führen Sie stat -fc %T /sys/fs/cgroup/ aus, um zu bestätigen
    RBAC-Richtlinien überprüfen — stellen Sie sicher, dass 'create'-Berechtigung für Benutzer gewährt wird, die kubectl exec benötigen
    Kubelet-Zertifikate prüfen — stellen Sie sicher, dass CN dem Format system:node:<nodename> entspricht
    Image-Pull-Credentials verifizieren — stellen Sie sicher, dass Pods ordnungsgemäße Secrets für alle erforderlichen Images haben

    Knative graduiert offiziell in der CNCF

    Knative, die Kubernetes-native Serverless-Plattform, ist offiziell in der CNCF graduiert. Dieser Meilenstein bestätigt die Produktionsreife.

    Mehr über Knative erfahren

    Docker vs Kubernetes

    Verstehen Sie die Unterschiede zwischen Docker und Kubernetes und warum Orchestrierung unerlässlich ist.

    Leitfaden lesen

    Deep Dive: Warum Kubernetes 1.35 ein Security-First Release ist

    Lesen Sie unsere vollständige Analyse, was diese Änderungen für Ihre Cluster bedeuten

    Artikel lesen

    Empfohlenes Buch

    Stop Guessing Kubernetes Buchcover

    Stop Guessing Kubernetes: Clear Answers to the Most Confusing Questions Part I

    Ein praktischer, sachlicher Leitfaden zum Verständnis von Kubernetes, wie es tatsächlich funktioniert. Dieses Buch räumt mit dem Rauschen auf und erklärt Kubernetes von Grund auf, anhand realer Fragen, die Ingenieure täglich stellen.

    Buch auf Amazon kaufen