Kubernetes 网络数据平面正迎来变革，nftables 模式已成为生产环境新标配，并在 Kubernetes 1.35 中取代 IPVS 模式。相较于 iptables 的 O(N) 线性查找和全量刷新，nftables 凭借 Maps 和 Sets 实现 O(1) 查找和原子增量更新，大幅提升大规模集群下的网络性能，P99 延迟降低 50 倍以上，并显著降低 CPU 消耗。它统一了 IPVS 和 iptables 的功能，简化了网络架构，并原生支持 IPv4/IPv6 双栈。Azure AKS 已全面支持，AWS EKS 计划设为推荐默认值，自建 K8s 用户若满足条件应积极切换，公有云用户可根据业务新旧和云厂商策略选择性采纳。

从单机Prometheus到Thanos再到Mimir，监控架构演变的本质是面对不同规模痛点的哲学抉择。Thanos通过非侵入式外挂组件实现平滑扩展，而Mimir将Prometheus降级为采集代理，走中心化Remote Write路线。Mimir在超大规模场景下通过减少对象存储API调用、消除降采样依赖和极致索引压缩，成为成本杀手。选型不是升级而是抉择：中型集群选Thanos，超大规模多租户选Mimir。

Kubernetes 1.34/1.35 引入原生自动化 mTLS 和 Pod Certificates，Pod 可自动申请小时级短活证书，无需 sidecar。证书管理从手动轮转的运维地狱变为零信任天堂，自管集群运维时间降低 90%，云 K8s 开箱即用。迁移成本极低，但需注意证书 TTL 固定、私钥不可导出等限制。

Kubernetes v1.33 至 v1.35 三个版本将平台从容器编排器升级为 AI 算力与零信任底座。v1.33 实现原生 Sidecar GA 并默认启用用户命名空间增强安全；v1.34 的 DRA 和 Node Swap GA 为 GPU/AI 调度提供原生支持；v1.35 的 In-Place Pod Resize GA 实现零中断弹性伸缩，Pod 证书 Beta 为无代理 mTLS 奠定基础。

IngressNightmare（CVE-2025-1974）CVSS 9.8，攻击者可未认证RCE控制ingress-nginx控制器，泄露全集群Secret。短期需紧急升级至v1.11.5/v1.12.1并封闭Admission Webhook公网暴露。长期应迁移至Gateway API，其结构化CRD替代注解注入，降低配置漏洞风险，支持多实现切换，提升安全与运维灵活性。