K8s 1.36正式发布：Webhooks被取代，这10个变化被低估了

Kubernetes 1.36的发布打破了惯例。这个版本代号"Haru"——日语中同时包含春天、晴空、远方三重含义。发布Logo重新演绎了葛饰北斋的《红富士》，Kubernetes的舵轮悬浮于山巅之上，书法题字写着"翱翔晴空，朝向明日朝阳"。

诗意背后，这是近年来最具实质意义的版本之一。不是因为推出了十几项Alpha新功能，而是因为它终于让酝酿多年的功能毕业，淘汰了早该废弃的旧机制，并给了平台工程师真正的工具，不用再拿胶带修补集群。

核心变化一览：Mutating Admission Policies正式GA，Webhooks进入倒计时；User Namespaces历经四年Alpha后终于稳定；Ingress NGINX正式退役（非弃用，是退役）；DRA真正成熟，支持GPU调度；OCI卷让ML模型分发不再尴尬；HPA支持缩容至零；gitRepo卷类型被删除——八年前就预告过这一天。

如果你在生产环境跑过Admission Webhooks，你知道那是什么滋味：每个API请求都要打到集群外的Webhook服务器，需要独立部署、独立TLS、独立值班。一旦它宕机——而它会宕机的——Pod调度直接停止，不是降级，是停止。

作者曾花一周时间追查一条卡住的CI/CD流水线：部署随机失败，日志嘈杂无用。根因是OPA Gatekeeper的Webhook在高负载下静默丢弃Pod创建请求。整整一周，只为一个被丢弃的请求。

这类问题在1.36后消失。MutatingAdmissionPolicies将变更逻辑写成CEL表达式，在API服务器内联执行。没有外部服务器，没有TLS证书轮换，没有凌晨3点因为Webhook Pod被驱逐而报警。定义为Kubernetes对象，用Git版本控制，走正常的GitOps流程。

限制依然存在：如果变更逻辑需要调用外部服务，仍需Webhook。但这只占真实场景的约20%。标签注入、Sidecar前置、字段默认值——这些现在都是原生进程内操作。Webhooks没有消失，只是不再是唯一选项。对大多数团队而言，这是巨大的运维解脱。

另一个被回避的事实：当容器以root运行时，它在宿主机上也是root。容器边界确实存在，但一旦逃逸，它就带着完整管理员权限落在你的节点上。