Kubernetes v1.35가 Pod 리소스 인플레이스 업데이트 기능을 GA로 졸업하고 워크로드 아이덴티티용 네이티브 인증서 발급을 베타로 도입해 Pod 재시작 없는 수직 확장과 자동 인증서 로테이션 구현

Context

Kubernetes에서 Pod의 CPU 및 메모리 리소스 조정 시 기존에는 Pod을 재생성해야 했으며, Pod 인증서 전달을 위해 cert-manager, SPIFFE/SPIRE 같은 외부 컨트롤러와 CRD 오케스트레이션, Secret 관리, 사이드카 기반 로테이션이 필요했다.

Technical Solution

• Pod 리소스 인플레이스 업데이트 GA 졸업: CPU와 메모리 리소스(requests/limits)를 Pod 또는 Container를 재시작하지 않고 조정 가능 (KEP #1287, SIG Node)
• 네이티브 워크로드 아이덴티티 베타 도입: kubelet이 키 생성, PodCertificateRequest를 통한 인증서 요청, 자격증명 번들을 Pod 파일시스템에 직접 작성 (KEP #4317, SIG Auth)
• kube-apiserver 노드 제한 강화: 인증서 발급 경로에서 Bearer Token 제거 및 노드 격리 경계 자동 검증
• Node 선언 기능 알파 추가: Node.status.declaredFeatures 필드를 통해 지원하는 Kubernetes 기능을 제어 플레인에 선언하고 스케줄러가 호환성 기반 Pod 배치 결정 (KEP #5328, SIG Node)
• Service 트래픽 분배 정책 안정화: PreferSameNode(로컬 노드 엔드포인트 우선), PreferSameZone(기존 PreferClose 이름 변경) 옵션 추가
• Job API managedBy 메커니즘 추가: 외부 컨트롤러가 Job 상태 동기화를 처리하도록 관리자 지정 가능

Impact

아티클에 정량적 성능 수치는 명시되지 않음.

Key Takeaway

Kubernetes는 외부 의존성을 최소화하고 코어 API에 기능을 통합함으로써 Pod 라이프사이클 관리와 보안 운영을 단순화하는 방향으로 진화하고 있으며, 네이티브 기능화를 통해 사용자는 서비스 메시 및 영역대체 아키텍처 구성 복잡도를 감소시킬 수 있다.