百度智能云容器引擎 Kubernetes 版本严格遵循社区一致性认证, 本文介绍 CCE 发布 Kubernetes 1.31 版本的主要变更内容，包含功能特性、弃用功能和 API、特性门控等。

功能特性

• CRD caBundle 字段增强校验。当 caBundle 字段非空但内容无效（如不包含有效 CA 证书）时，对应的 CRD 将无法提供服务。一旦 caBundle 设置为有效值，后续更新将禁止将其置空或设为无效，确保服务连续性。
• 精细化 Pod 亲和性/反亲和性配置（Beta）。MatchLabelKeysInPodAffinity 特性门控默认启用，新增 matchLabelKeys 和 mismatchLabelKeys 字段，支持在滚动更新期间区分新旧 Pod，避免亲和性策略误判。
• Indexed Job 自定义成功策略（Beta）。JobSuccessPolicy 进阶至 Beta，允许为 Indexed Job 配置灵活的成功条件（如允许部分索引失败），优化批处理任务管理。参考：Job Success Policy。
• 隐藏节点 kube-proxy 版本信息（Beta）。DisableNodeKubeProxyVersion 默认启用，节点状态中的 kubeProxyVersion 字段不再显示（因信息不准确），减少潜在风险。
• 节点绑定的 ServiceAccount Token（Beta）。ServiceAccountTokenNodeBinding 默认启用，Token 直接绑定到节点，当节点/ServiceAccount 被删除或 Token 过期时自动失效。
• 递归只读卷挂载（Beta）。RecursiveReadOnlyMounts 默认启用，支持对卷挂载设置递归只读权限，防止子目录或文件被修改。参考：Recursive read-only mounts。
• Pod 非镜像字段更新免重启。当 Pod spec 变更不涉及 image 字段时，kubelet 不再重启容器，避免非必要中断。
• 持久卷删除保护 Finalizer（Beta）。HonorPVReclaimPolicy 默认启用，为 Delete 策略的 PV 添加 Finalizer，确保底层存储资源删除后才移除 PV。参考：PersistentVolume deletion protection finalizer。
• kubectl debug 自定义模板支持（Beta）。支持通过自定义 Profile 模板扩展调试功能（如预定义资源限制或命令）。参考：Kubernetes 1.31: Custom Profiling in Kubectl Debug Graduates to Beta。
• 客户端流式协议升级至 WebSocket。kubectl cp、exec、attach 和 port-forward 命令的传输协议更新为 WebSocket，提升兼容性与性能。
• API Server 缓存一致性读优化。支持从缓存直接实现一致性读，减少对 etcd 的依赖，显著提升 List 请求效率。参考：Consistent Reads from Cache。

功能变更

• 除内置 CephFS 卷插件。内置插件 kubernetes.io/cephfs 已弃用，需迁移至 CephFS CSI驱动。升级影响：使用旧插件的用户需在升级前切换到 CSI 驱动并重新部署应用。
• 移除内置 CephRBD 卷插件。内置插件 kubernetes.io/rbd 已弃用，需迁移至 RBD CSI驱动。升级影响：同 CephFS 迁移步骤。
• Portworx 存储插件迁移支持。CSIMigrationPortworx 特性门控默认启用，需提前安装 Portworx CSI 驱动 以兼容 1.31。

参考链接

关于Kubernetes 1.31完整的变更记录，请参考CHANGELOG-1.31、Kubernetes v1.31: Elli。