Revisión de las notas de la versión estándar de Kubernetes con soporte extendido - Amazon EKS
Kubernetes 1.35Kubernetes 1.34Kubernetes 1.33Kubernetes 1.32

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Revisión de las notas de la versión estándar de Kubernetes con soporte extendido

sugerencia

Regístrese en los próximos talleres de Amazon EKS.

En este tema se detallan cambios importantes que debe conocer sobre cada versión de Kubernetes con soporte estándar. Al actualizar, revise detenidamente los cambios que haya habido entre la versión antigua y la nueva de su clúster.

Kubernetes 1.35

Kubernetes 1.35 ya se encuentra disponible en Amazon EKS. Para obtener más información acerca de Kubernetes 1.35, consulte el anuncio del lanzamiento oficial.

importante

  • Se elimina la compatibilidad con cgroup v1: Kubernetes 1.35 deja de admitir cgroup v1. Como resultado, kubelet no se iniciará de forma predeterminada en nodos que utilicen cgroup v1.

    • AL2023: AL2023 utiliza cgroup v2 de forma predeterminada y se alinea con el comportamiento oficial de Kubernetes.

      • Acción requerida: los clientes que hayan configurado manualmente AL2023 para usar cgroup v1 deben migrar a cgroup v2 o definir manualmente failCgroupV1: false en la configuración de kubelet.

    • Bottlerocket: Bottlerocket 1.35 utiliza cgroup v2 de forma predeterminada; sin embargo, establece failCgroupV1: false en la configuración de kubelet para mantener la compatibilidad con versiones anteriores.

    • Fargate: Fargate continúa con el uso de cgroup v1.

  • Fin del soporte de containerd: 1.xKubernetes 1.35 es la última versión que admite containerd 1.x. Debe cambiar a containerd 2.0 o una versión posterior antes de actualizar a la siguiente versión de Kubernetes.

  • En marzo de 2026, el proyecto oficial de Kubernetes retirará Ingress NGINX, un componente de infraestructura fundamental para muchos entornos de Kubernetes.

    • Acción requerida: los clientes de EKS deben evaluar si dependen de Ingress NGINX y comenzar a planificar la migración a alternativas como Gateway API o controladores de Ingress de terceros, ya que no habrá más versiones con correcciones de errores, parches de seguridad ni actualizaciones después de su retiro. Las implementaciones existentes seguirán en funcionamiento, pero permanecer con Ingress NGINX después de su retiro deja el entorno vulnerable a riesgos de seguridad, ya que ninguna de las alternativas disponibles es un reemplazo directo e inmediato y requerirá planificación y trabajo de ingeniería. Para obtener más información sobre este anuncio de Kubernetes, consulte el comunicado oficial de los Comités Directivo y de Respuesta de Seguridad de Kubernetes sobre el retiro de Ingress NGINX.

  • Actualizaciones de recursos de pods en el lugar (estable): las actualizaciones de recursos de pods en el lugar permiten ajustar los recursos de CPU y memoria sin reiniciar los pods ni los contenedores. Anteriormente, estas modificaciones requerían volver a crear los pods, lo que podía interrumpir las cargas de trabajo, especialmente en aplicaciones con estado o procesos por lotes. La nueva funcionalidad en el lugar permite un escalado vertical más fluido y sin interrupciones, mejora la eficiencia y también puede simplificar el desarrollo.

  • Distribución de tráfico PreferSameNode (estable): el campo trafficDistribution para los Servicios se ha actualizado para proporcionar un control más explícito sobre el enrutamiento del tráfico. Se ha introducido una nueva opción, PreferSameNode, que permite a los servicios priorizar estrictamente los puntos de conexión en el nodo local cuando estén disponibles y, en caso contrario, conmutar por error a puntos de conexión remotos. Este cambio hace que la API sea más explícita al preferir el tráfico dentro del nodo actual.

  • StatefulSet MaxUnavailable (beta): esta característica permite actualizaciones paralelas de pods mediante la configuración de maxUnavailable (por ejemplo, 3 o 10 %), lo que permite que aplicaciones con estado, como clústeres de bases de datos, se actualicen hasta un 60 % más rápido que con actualizaciones secuenciales de un solo pod a la vez, lo que reduce significativamente los periodos de mantenimiento.

  • Compatibilidad con Windows Server 2025: EKS 1.35 agrega compatibilidad con Windows Server 2025.

  • Eliminación de indicador de kubelet: se eliminó el indicador --pod-infra-container-image de kubelet. Los usuarios de AMI personalizadas deben eliminar este indicador de la configuración de kubelet antes de actualizar a la versión 1.35.

  • Aviso de obsolescencia – modo IPVS: el modo IPVS en kube-proxy está en desuso y se eliminará en Kubernetes 1.36.

Para completar el registro de cambios de Kubernetes 1.35, consulte https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.35.md.

Kubernetes 1.34

Kubernetes 1.34 ya se encuentra disponible en Amazon EKS. Para obtener más información acerca de Kubernetes 1.34, consulte el anuncio del lanzamiento oficial.

importante

  • containerd se actualizó a 2.1 en la versión 1.34 para el lanzamiento.

  • AWS no publica una AMI de Amazon Linux 2 optimizada para EKS para Kubernetes 1.34.

  • AppArmor está obsoleto en Kubernetes 1.34.

  • VolumeAttributesClass (VAC) pasa a GA en Kubernetes 1.34, lo que migra de la API beta (storage.k8s.io/v1beta1) a la API estable (storage.k8s.io/v1).

    • Si utiliza el controlador CSI de EBS con contenedores sidecar administrados de AWS (de Componentes de CSI en la galería de ECR), la modificación del volumen continuará funcionando sin problemas en los clústeres de las versiones 1.31 a 1.33 de EKS. AWS parcheará los contenedores sidecar para que sean compatibles con las API de VAC en versión beta hasta que finalice la compatibilidad con el estándar de EKS 1.33 (29 de julio de 2026).

    • Si autoadministra sus contenedores sidecar de CSI, es posible que tenga que fijar versiones antiguas de sidecar en clústeres anteriores a la versión 1.34 para mantener la funcionalidad de VAC.

    • Para utilizar las características de VolumeAttributesClass de GA (como la reversión de modificaciones), actualice a EKS 1.34 o una versión posterior.

  • El firmante externo de JWT para tokens de cuentas de servicio pasa a beta. Al utilizar firmantes externos, el indicador --service-account-extend-token-expiration ya no se respeta completamente. El servidor de la API aplica la expiración mínima entre la extensión deseada (1 año) y el límite del firmante externo (24 horas).

  • API principales de asignación dinámica de recursos (DRA) (GA): la asignación dinámica de recursos ha pasado a ser estable, lo que permite una administración eficiente de hardware especializado, como las GPU, mediante interfaces de asignación estandarizadas, lo que simplifica la administración de recursos para los aceleradores de hardware y mejora el uso de los recursos especializados.

  • Tokens de ServiceAccount proyectados para Kubelet (beta): esta mejora aumenta la seguridad al utilizar credenciales de corta duración para la extracción de imágenes de contenedores en lugar de secretos de larga duración, lo que reduce el riesgo de exposición de las credenciales y refuerza la posición de seguridad general de los clústeres.

  • Solicitudes y límites de recursos de pods (beta): esta característica simplifica la administración de recursos, ya que permite compartir grupos de recursos para pods de varios contenedores, lo que permite una asignación y un uso más eficientes de los recursos para aplicaciones complejas con varios contenedores.

  • Recuento asignable de nodos de CSI mutables (beta): la puerta de características MutableCSINodeAllocatableCount está activada de forma predeterminada en EKS 1.34, lo que hace que el atributo de recuento del máximo de volúmenes adjuntables de CSINode sea mutable e ingresa un mecanismo para actualizarlo dinámicamente en función de la configuración del usuario en el controlador CSI. Estas actualizaciones se pueden activar mediante intervalos periódicos o mediante la detección de errores, lo que mejora la fiabilidad de la programación de pods con estado al abordar las discrepancias entre la capacidad de adjunción notificada y la real en los nodos.

  • Aviso de obsolescencia, configuración del controlador cgroup: la configuración manual del controlador cgroup se sustituirá por la detección automática y quedará obsoleta.

    • Impacto para el cliente: si actualmente establece el indicador --cgroup-driver manualmente en la configuración de kubelet, debe prepararse para eliminar esta configuración.

    • Acción necesaria: planifique actualizar los scripts de arranque de los nodos y las configuraciones de AMI personalizadas para eliminar la configuración manual del controlador cgroup antes de que se elimine la característica en una versión futura de Kubernetes.

    • Para obtener más información, consulte la documentación del controlador cgroup.

Para completar el registro de cambios de Kubernetes 1.34, consulte https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.34.md.

Kubernetes 1.33

Kubernetes 1.33 ya se encuentra disponible en Amazon EKS. Para obtener más información acerca de Kubernetes 1.33, consulte el anuncio del lanzamiento oficial.

importante

  • La API de Kubernetes de asignación dinámica de recursos en versión beta está habilitada.

    • Esta API en versión beta mejora la experiencia de programación y supervisión de las cargas de trabajo que requieren recursos, como las GPU.

    • La API en versión beta la define la comunidad de Kubernetes y puede cambiar en futuras versiones de Kubernetes.

    • Revisa detenidamente Feature stages en la documentación de Kubernetes para entender las implicaciones del uso de las API en versión beta.

  • AWS no publica una AMI de Amazon Linux 2 optimizada para EKS para Kubernetes 1.33.

  • Redimensionamiento de recursos de pods in situ (versión beta): el redimensionamiento de recursos in situ ha pasado a una versión beta, lo que permite actualizar dinámicamente los recursos de CPU y memoria de los pods existentes sin necesidad de reiniciarlos, lo que a su vez permite escalar verticalmente las cargas de trabajo con estado sin tiempo de inactividad y ajustar los recursos sin problemas en función de los patrones de tráfico.

  • Los contenedores sidecar ahora son estables: los contenedores sidecar han pasado a ser estables, ya que se implementan como contenedores init especiales con restartPolicy: Always que se inician antes que los contenedores de aplicaciones, se ejecutan durante todo el ciclo de vida del pod y admiten sondas para la señalización del estado operativo.

    • Para obtener más información, consulte Sidecar Containers en la documentación de Kubernetes.

  • Obsolescencia de la API de puntos de conexión: la API de puntos de conexión ya está oficialmente obsoleta y devolverá advertencias cuando se acceda a ella. Migre las cargas de trabajo y los scripts para utilizar la API de EndpointSlices, que admite características modernas, como las redes de doble pila, y gestiona varios EndpointSlices por servicio.

  • Compatibilidad con Elastic Fabric Adapter: el grupo de seguridad predeterminado para los clústeres de Amazon EKS ahora admite el tráfico de Elastic Fabric Adapter (EFA). El grupo de seguridad predeterminado tiene una nueva regla de salida que permite el tráfico de EFA con el destino del mismo grupo de seguridad. Esto permite el tráfico de EFA dentro del clúster.

Para completar el registro de cambios de Kubernetes 1.33, consulte https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.33.md.

Kubernetes 1.32

Kubernetes 1.32 ya se encuentra disponible en Amazon EKS. Para obtener más información acerca de Kubernetes 1.32, consulte el anuncio del lanzamiento oficial.

importante

  • La versión de la API flowcontrol.apiserver.k8s.io/v1beta3 de FlowSchema y PriorityLevelConfiguration se eliminó en la versión 1.32. Si utiliza estas API, debe actualizar las configuraciones de modo que se utilice la última versión compatible antes de realizar la actualización.

  • ServiceAccount metadata.annotations[kubernetes.io/enforce-mountable-secrets] ha quedado obsoleta en la versión 1.32 y se eliminará en una próxima versión secundaria de Kubernetes. Se recomienda utilizar espacios de nombres separados para aislar el acceso a los secretos montados.

  • La versión 1.32 de Kubernetes es la última versión para la que Amazon EKS lanzará las AMI de Amazon Linux 2 (AL2). A partir de la versión 1.33, Amazon EKS seguirá lanzando AMI basadas en Amazon Linux 2023 (AL2023) y Bottlerocket.

  • La característica Administrador de memoria ahora se encuentra disponible de forma general (GA) en la versión 1.32 de Kubernetes. Esta mejora permite una asignación de memoria más eficiente y predecible para las aplicaciones en contenedores, lo que es especialmente beneficioso para las cargas de trabajo con requisitos de memoria específicos.

  • Los PersistentVolumeClaims (PVC) creados por StatefulSets ahora incluyen funcionalidad de limpieza automática. Cuando los PVC ya no sean necesarios, se eliminarán automáticamente, a la vez que se mantendrá la persistencia de los datos durante las actualizaciones de StatefulSet y las operaciones de mantenimiento de nodos. Esta característica simplifica la administración del almacenamiento y ayuda a evitar que los PVC queden huérfanos en el clúster.

  • Se ha introducido la función de selección de campos de recursos personalizados, que permite a los desarrolladores agregar selectores de campos a recursos personalizados. Esta característica ofrece las mismas capacidades de filtrado para los objetos integrados de Kubernetes que para los recursos personalizados, lo que permite un filtrado de recursos más preciso y eficiente, además de fomentar las prácticas recomendadas en el diseño de API.

Para completar el registro de cambios de Kubernetes 1.32, consulte https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.32.md.

Cambios en la autenticación anónima

A partir de Amazon EKS 1.32, la autenticación anónima se restringe a los siguientes puntos de conexión de comprobación de estado del servidor de la API:

  • /healthz

  • /livez

  • /readyz

Las solicitudes a cualquier otro punto de conexión que utilice el usuario system:unauthenticated recibirán una respuesta HTTP 401 Unauthorized. Esta mejora de seguridad ayuda a prevenir accesos no deseados al clúster que podrían derivarse de configuraciones incorrectas en las políticas de control de acceso basado en roles (RBAC).

nota

El rol de RBAC public-info-viewer se mantiene válido para los puntos de conexión de comprobación de estado enumerados anteriormente.

Obsolescencia de la AMI de Amazon Linux 2

La versión 1.32 de Kubernetes es la última versión para la que Amazon EKS lanzó las AMI de AL2. A partir de la versión 1.33, Amazon EKS seguirá lanzando AMI basadas en AL2023 y Bottlerocket. Para obtener más información, consulte Guía sobre las características de transición de las AMI EKS AL2 y AL2-Accelerated.