Kubernetes v1.35: veiliger, flexibeler, afscheid van ingress-nginx

In dit artikel:

Kubernetes heeft versie 1.35 uitgebracht, gedoopt tot “Timbernetes”, met ongeveer 60 nieuwe features en meerdere belangrijke beleidswijzigingen. De naam verwijst naar Yggdrasil, de wereldboom uit de Noordse mythologie, en benadrukt de geleidelijke, community-gedreven groei van het project.

Belangrijkste nieuwe mogelijkheden
- In-place updates van Pod-resources (stable): beheerders kunnen CPU- en geheugenlimieten van draaiende Pods aanpassen zonder herstart. Dit maakt opschalen en afschalen van workloads minder verstorend, vooral voor stateful applicaties die eerder een volledige Pod-recreatie nodig hadden.
- Native Pod-certificaten (beta): Kubernetes integreert nu de levering van TLS-certificaten aan Pods, waarbij de kubelet sleutels genereert, PodCertificateRequest gebruikt en credential bundles opslaat binnen de Pod. Dat vermindert de afhankelijkheid van externe controllers zoals cert-manager of SPIFFE/SPIRE en beperkt veelvoorkomende fouten bij third-party signers.
- Node-features declaratie (alpha): nodes kunnen straks in .status.declaredFeatures aangeven welke Kubernetes-features zij ondersteunen, zodat de scheduler en admission controllers alleen Pods schedulen op compatibele nodes. Dit voorkomt fouten wanneer control planes al nieuwe mogelijkheden inschakelen terwijl nodes nog oudere software draaien.

Verbeteringen in resourcebeheer
- Dynamic Resource Allocation (DRA) blijft prominent aanwezig; na stable-status in v1.34 is DRA nu standaard ingeschakeld en kent meerdere alpha-verbeteringen (extended resource requests, device taints/tolerations, partitionable devices). DRA maakt flexibeler gebruik van gespecialiseerde hardware (zoals GPU’s) mogelijk en lost diverse edge-cases op.

Afscheid van legacy-componenten en -technieken
- Ingress NGINX-controller wordt uitgefaseerd vanwege te weinig maintainers en oplopende technische schuld; er is best-effort onderhoud tot maart 2026, daarna archivering. Projecten worden aangeraden te migreren naar de Gateway API, die moderner en uitbreidbaarder is — maar die overgang vergt planning.
- Volledige verwijdering van cgroup v1-ondersteuning: nodes moeten cgroup v2 gebruiken; anders start de kubelet niet meer. Beheerders van oudere Linux-distributies moeten migreren.
- De ipvs-modus in kube-proxy wordt op termijn afgeschaft: gebruik levert nu waarschuwingen op; nftables is de aanbevolen vervanger.

Impact en aanbevelingen
Organisaties moeten plannen voor migraties (Ingress → Gateway API, cgroup v1 → v2, eventueel ipvs → nftables) en hun node- en control-planeversies synchroniseren om scheduler-problemen te voorkomen. De release verschuift duidelijk richting meer ingebouwde lifecycle- en security-functionaliteit én het systematisch uitfaseren van legacy, waarmee beheerders zowel nieuwe mogelijkheden krijgen als migratieverplichtingen.