Kubernetes 1.35: Security-First Release
Uitgebracht december 2025
Deze release voelt alsof de Kubernetes-maintainers eindelijk de beveiligingschecklist hebben gepakt en jaren van verbeteringen in één keer hebben afgewerkt. 17 beveiligingsgerelateerde wijzigingen, geharde standaardwaarden en legacy-opruiming.
Waarom Kubernetes 1.35 belangrijk is
Kubernetes 1.35 is subtiel massief voor iedereen die om het harden van hun clusters geeft—en een beetje zenuwslopend voor iedereen die afhankelijk is van ouder gedrag. Het sluit oude deuren, vervangt verouderde aannames en geeft meer controle aan beheerders die strakkere controle willen.
Wijzigingen die problemen kunnen veroorzaken
cgroup v1 ondersteuning verwijderd
Vanaf Kubernetes 1.35 is ondersteuning voor cgroups v1 standaard uitgeschakeld. Controleer of uw Linux-server cgroups v2 gebruikt voordat u upgradet.
Secret-Pulled Images afgedwongen
Nieuw imagePullCredentialsVerificationPolicy-veld dwingt autorisatiecontroles af voor image pulls, ook voor gecachte images.
SPDY naar WebSockets overgang
Kubernetes CLI schakelt over van SPDY naar WebSockets. API-server vereist nu 'create'-machtiging voor verbindingsupgrades.
Geharde Kubelet-certificaatvalidatie
API-server valideert nu dat kubelet-certificaat CN overeenkomt met system:node:<nodename> om impersonatie-aanvallen te voorkomen.
Nieuwe beveiligingsfuncties
Beperkte impersonatie
Gebruikers kunnen tijdens impersonatie geen acties meer uitvoeren die ze zelf niet zouden kunnen uitvoeren.
Flagz voor Kubernetes-componenten
Nieuw eindpunt toont runtime-flags voor componenten en helpt bij het detecteren van configuratieafwijkingen en beveiligingsbeleidsschendingen.
HostNetwork Pods met User Namespaces
Pods kunnen nu toegang krijgen tot het hostnetwerk terwijl ze user namespace-isolatie behouden, waardoor het risico op root-compromittering wordt verminderd.
CSI-stuurprogramma Opt-In voor SA-tokens
Service-account-tokens worden nu geleverd via een nieuw Secrets-veld in plaats van VolumeContext. Least privilege standaard.
Nu standaard ingeschakeld
Deze verbeteringen zijn gegradueerd en zijn nu standaard ingeschakeld in Kubernetes 1.35
Pod-certificaten
Vereenvoudigde certificaatvoorziening voor Pods via PodCertificateRequest API.
User Namespaces voor Pods
Verbeterde isolatie die container-root scheidt van host-root.
OCI-artefacten als VolumeSource
Mount OCI-images rechtstreeks als volumes voor configuratie en assets.
Gescheiden kubectl-gebruikersvoorkeuren
Schone scheiding van clusterconfiguraties en gebruikersvoorkeuren via kuberc-bestand.
Gogo Protobuf verwijderd
Verouderde serialisatiebibliotheek verwijderd, beveiligingshouding verbeterd.
Gestructureerde authenticatieconfiguratie
Bestandsgebaseerde authenticatieconfiguratie met CEL-expressies-ondersteuning.
Fijnmazige SupplementalGroups
Strikte modus negeert kwaadaardige /etc/group-configuraties in container-images.
Drop-in Kubelet-configuratiemap
Linux-stijl configuratiemap voor voorspelbaar kubelet-beheer.
Hoe u uw Kubernetes 1.35 upgrade plant
Voordat u upgradet, bekijk de officiële upgrade-gids en overweeg:
stat -fc %T /sys/fs/cgroup/ uit om te bevestigenKnative gradueerde officieel in de CNCF
Knative, het Kubernetes-native serverless-platform, is officieel afgestudeerd in de CNCF. Deze mijlpaal bevestigt de productierijpheid.
Meer over Knative lerenDocker vs Kubernetes
Begrijp de verschillen tussen Docker en Kubernetes en waarom orchestratie essentieel is.
Lees gidsDeep Dive: Waarom Kubernetes 1.35 een Security-First Release is
Lees onze volledige analyse van wat deze wijzigingen betekenen voor uw clusters
Aanbevolen boek
Stop Guessing Kubernetes: Clear Answers to the Most Confusing Questions Part I
Een praktische, no-nonsense gids om Kubernetes te begrijpen zoals het echt werkt. Dit boek snijdt door de ruis en legt Kubernetes uit vanaf de basis, met behulp van echte vragen die engineers elke dag stellen.
Koop het boek op Amazon