Kubernetes更新存在2-7个月滞后,超大规模服务商和VMware快速,Red Hat OpenShift则较慢。这导致企业无法及时使用新功能,增加技术债务,影响竞争力。
译自:Conformant Kubernetes Update Availability Varies Significantly Across Services
作者:B. Cameron Gain
组织通常希望尽快集成最新的Kubernetes功能或安全升级。然而,ReveCom的分析显示,Cloud Native Computing Foundation (CNCF) 发布Kubernetes更新与本地云基础设施提供商或超大规模服务商通过其Kubernetes平台普遍可用之间存在2到约7个月的滞后。这意味着组织可能需要等待关键的安全补丁、性能增强,以及经常是重要的T新功能。ReveCom将这种节奏差异称为“滞后差距”。这种差距的大小在不同的平台提供商和超大规模服务商之间差异显著。
“一致性Kubernetes”状态指的是通过了官方一致性测试的Kubernetes发行版,确保其符合核心Kubernetes API规范并与上游Kubernetes行为一致。CNCF管理此认证,为用户提供了对不同Kubernetes发行版互操作性、可移植性和可靠性的信心。供应商必须通过这些测试才能声称拥有“认证Kubernetes”品牌。
供应商发布新Kubernetes版本并使其普遍可用(GA)所需的时间,直接影响了对新功能的访问,包括安全性和弹性增强。显著的延迟意味着错失CNCF的创新。此图表显示了最近三个K8s版本发布到GA的平均时间:
来源: ReveCom
数据解析
该分析旨在简洁,并包含一个可视化图表以说明竞争格局。在分析最近三个主要CNCF Kubernetes版本(1.33、1.32、1.31)的支持滞后时,出现了两个不同的群体。第一个群体是领跑者,由超大规模服务商组成:Google Kubernetes Engine (GKE)、Azure Kubernetes Service (AKS) 和Amazon Elastic Kubernetes Service (EKS)。它们展示了令人印象深刻的敏捷性,通常在41到87天内的紧密窗口期内向客户提供新版本。
一个主要挑战者,VMware Cloud Foundation (VCF),使其vSphere Kubernetes Service (VKS) 发布与这个超大规模服务商基准保持一致,平均为57天。相比之下,Red Hat OpenShift (RHOS) 显著滞后,平均支持滞后时间为192天。
这种滞后并非由于疏忽,其差异在于托管平台必须将每个上游Kubernetes版本转化为一个经过强化和集成的服务。提供商必须跟踪上游变化并集成自己的组件:etcd、容器运行时 (CRI)、CoreDNS、kube‑proxy、控制平面标志以及底层内核和节点镜像。网络和存储堆栈必须重新构建和验证(CNI实现和CSI驱动程序),以及云控制器、负载均衡器、GPU/驱动程序工具包和操作系统镜像。
安全修复通常通过回溯移植更快地到达,但它们仍然需要符合FIPS的构建、符合CIS的默认设置、签名的镜像和SBOM,以及在所有支持版本中进行CVE分类。所有这些都必须在大规模下工作,支持多租户控制平面、各种实例类型和极其庞大的Pod数量,并实现零停机升级、安全回滚和版本偏差保证。发布接着会通过一致性测试和金丝雀发布,然后才进行全球可用,随后是更新的CLI、文档、计费和支持材料。
简而言之,在托管平台上交付“最新CNCF一致性Kubernetes”是一项大量的工程和运营工作。这提供了组织所支付的另一层可靠性、安全性和兼容性。
如此快的节奏可能会引出一个问题,即在如此快速的发布周期中,是否能保持安全性和合规性。然而,尽管发布节奏更快,超大规模服务商和VMware声称通过自动化、模块化架构和大规模测试覆盖,仍然保持强大的可靠性、安全性和兼容性。他们的服务旨在实现滚动更新和大规模持续验证。其理念是安全地发布一致性版本,而无需像OpenShift这样的单体平台那样进行更繁重的集成周期。
就OpenShift而言,其漫长的差距归结于其架构理念。OpenShift不仅仅是一个Kubernetes发行版;它是一个高度主观、一体化的平台即服务(PaaS)。尽管这种高度集成提供了连贯的用户体验,但它也带来了显著的工程开销。每个新的上游Kubernetes版本都必须针对整个专有的OpenShift堆栈进行严格测试、修改和验证——从其服务网格和监控工具到其独特的操作系统。
这种复杂性就像一个锚,减缓了上游创新的集成,而超大规模服务商和VMware的模块化架构使他们能够更快地认证和发布新的Kubernetes版本。
企业影响:六个月延迟的真正代价
对于平台工程师和解决方案架构师来说,192天的滞后会带来切实的业务和技术挑战。团队无法使用可以解决关键业务问题的新Kubernetes功能,例如改进的Sidecar容器管理、使用Gateway API进行高级流量路由,或通过新的Pod安全标准增强安全性。
这种延迟也导致了技术债务的不断累积,因为平台和用户部署都进一步落后于上游项目,增加了重大破坏性变更或复杂未来迁移的风险。最终,这造成了竞争劣势。当团队空等供应商的新版本时,使用更敏捷平台的竞争对手已经利用最新工具进行构建,并获得了关键的上市时间优势。
对于技术领导者来说,数据很明确:快速安全地吸收Kubernetes创新现在是平台成功的关键基准。
