概述

本文档介绍百度智能云容器引擎 CCE 发布 Kubernetes 1.31 版本的主要变更内容，包含功能特性、弃用功能和 API、特性门控等，并重点说明升级前需要完成的存储插件迁移与兼容性准备事项。

功能特性

• CRD caBundle 字段增强校验。当 caBundle 字段非空但内容无效（如不包含有效 CA 证书）时，对应的 CRD 将无法提供服务。一旦 caBundle 设置为有效值，后续更新将禁止将其置空或设为无效，确保服务连续性。
• 精细化 Pod 亲和性/反亲和性配置（Beta）。MatchLabelKeysInPodAffinity 特性门控默认启用，新增 matchLabelKeys 和 mismatchLabelKeys 字段，支持在滚动更新期间区分新旧 Pod，避免亲和性策略误判。
• Indexed Job 自定义成功策略（Beta）。JobSuccessPolicy 进阶至 Beta，允许为 Indexed Job 配置灵活的成功条件（如允许部分索引失败），优化批处理任务管理。参考：Job Success Policy。
• 隐藏节点 kube-proxy 版本信息（Beta）。DisableNodeKubeProxyVersion 默认启用，节点状态中的 kubeProxyVersion 字段不再显示（因信息不准确），减少潜在风险。
• 节点绑定的 ServiceAccount Token（Beta）。ServiceAccountTokenNodeBinding 默认启用，Token 直接绑定到节点，当节点/ServiceAccount 被删除或 Token 过期时自动失效。
• 递归只读卷挂载（Beta）。RecursiveReadOnlyMounts 默认启用，支持对卷挂载设置递归只读权限，防止子目录或文件被修改。参考：Recursive read-only mounts。
• Pod 非镜像字段更新免重启。当 Pod spec 变更不涉及 image 字段时，kubelet 不再重启容器，避免非必要中断。
• 持久卷删除保护 Finalizer（Beta）。HonorPVReclaimPolicy 默认启用，为 Delete 策略的 PV 添加 Finalizer，确保底层存储资源删除后才移除 PV。参考：PersistentVolume deletion protection finalizer。
• kubectl debug 自定义模板支持（Beta）。支持通过自定义 Profile 模板扩展调试功能（如预定义资源限制或命令）。参考：Kubernetes 1.31: Custom Profiling in Kubectl Debug Graduates to Beta。
• 客户端流式协议升级至 WebSocket。kubectl cp、exec、attach 和 port-forward 命令的传输协议更新为 WebSocket，提升兼容性与性能。
• API Server 缓存一致性读优化。支持从缓存直接实现一致性读，减少对 etcd 的依赖，显著提升 List 请求效率。参考：Consistent Reads from Cache。

功能变更

说明： 涉及存储插件的迁移项，均应在升级到 Kubernetes 1.31 前完成。只有在确认目标集群存在、具备集群访问能力且完成工作负载验证后，才能认定迁移闭环已完成。- 移除内置 CephFS 卷插件。内置插件 kubernetes.io/cephfs 已弃用，需迁移至 CephFS CSI 驱动。升级影响：使用旧插件的用户需在升级前切换到 CSI 驱动并重新部署应用。

导航路径：控制台->容器引擎 CCE->集群列表

1. 检查目标集群或相关应用是否仍在使用内置卷插件 kubernetes.io/cephfs。
2. 在升级到 Kubernetes 1.31 前，先完成到 CephFS CSI 驱动的迁移。
3. 重新部署依赖该存储插件的应用，确认工作负载已不再依赖内置 CephFS 卷插件。
4. 完成迁移后，再执行 Kubernetes 1.31 升级。

注意： 存储插件迁移会影响持久化数据访问链路，执行前应完成变更评估、业务验证和回滚预案。

说明： 若缺少查看 PersistentVolume、StorageClass、CSIDriver 或工作负载的权限，则无法直接完成使用情况核查和迁移确认。

• 移除内置 CephRBD 卷插件。内置插件 kubernetes.io/rbd 已弃用，需迁移至 RBD CSI 驱动。升级影响：同 CephFS 迁移步骤。

  导航路径：控制台->容器引擎 CCE->集群列表

  1. 先切换到目标地域，并确认当前账号下存在需要检查的目标 CCE 集群。
  2. 检查目标集群或相关应用是否仍在使用内置卷插件 kubernetes.io/rbd。
  3. 在升级到 Kubernetes 1.31 前，先完成到 RBD CSI 驱动的迁移。
  4. 重新部署依赖该存储插件的应用，确认工作负载已不再依赖内置 CephRBD 卷插件。
  5. 完成迁移后，再执行 Kubernetes 1.31 升级。

  注意： 只有在确认存在目标集群并完成实际迁移后，才能进入应用重部署和版本升级阶段。

• Portworx 存储插件迁移支持。CSIMigrationPortworx 特性门控默认启用，需提前安装 Portworx CSI 驱动以兼容 Kubernetes 1.31。

  导航路径：控制台->容器引擎 CCE->集群列表

  1. 先切换到目标地域，并确认存在待升级的目标 CCE 集群。
  2. 在目标集群中识别是否存在 Portworx 存储相关资源或工作负载依赖。
  3. 在升级到 Kubernetes 1.31 前，提前安装 Portworx CSI 驱动。
  4. 核对环境已兼容默认启用的 CSIMigrationPortworx 特性门控后，再安排 Kubernetes 1.31 升级。

  说明： 只有在已确认目标集群、具备集群访问能力，并可查看相关存储资源时，才能完成该项兼容性准备。

参考链接

关于Kubernetes 1.31完整的变更记录，请参考CHANGELOG-1.31、Kubernetes v1.31: Elli。