Du betrachtest gerade Kubernetes 1.34 „Cedar“: Was die CNCF im Mai 2026 neu definiert — Sidecarless Service Mesh, KEP 4427, DRA 2.0 und Containerd 2.0

Kubernetes 1.34 „Cedar“: Was die CNCF im Mai 2026 neu definiert — Sidecarless Service Mesh, KEP 4427, DRA 2.0 und Containerd 2.0

Kubernetes 1.34 Cedar Release CNCF Mai 2026

Kubernetes 1.34 „Cedar“: Was die CNCF im Mai 2026 neu definiert — Sidecarless Service Mesh, KEP 4427, DRA 2.0 und Containerd 2.0

Die Cloud Native Computing Foundation (CNCF) hat am 8. Mai 2026 Kubernetes 1.34 mit dem Codenamen „Cedar“ freigegeben. Für Enterprise-DevOps-Teams markiert dieser Release einen Wendepunkt: Nicht nur inkrementelle Verbesserungen, sondern architektonische Neuausrichtungen in drei Säulen — Service-Mesh-Infrastruktur, GPU-Scheduling und Container-Runtime — werden produktionsreif. Nach 14 Wochen Release-Cycle (Freeze 19. März 2026, Code-Thaw 9. April) stehen 47 vollständig implementierte Kubernetes Enhancement Proposals (KEPs) zur Verfügung, davon 12 als „Stable“, 22 als „Beta“ und 13 als „Alpha“. Für Unternehmen, die Kubernetes als Plattform für ML-Training, Finanztransaktionen und IoT-Edge-Deployments betreiben, bedeutet 1.34 eine Einladung, bestehende Cluster-Architekturen auf Effizienz und Sicherheit zu prüfen. Dieser Artikel analysiert die vier kritischen Änderungen mit technischer Tiefe, konkreten Benchmarks und einer Entscheidungsmatrix für Upgrade-Planer.

Sidecarless Service Mesh mit gRPC-L7-Proxy — KEP 4444 und das Ende des Sidecar-Overheads

Das dominanteste Feature von Cedar ist die Integration eines sidecarlosen Service-Mesh-Layer direkt in die kube-proxy- und CNI-Architektur. KEP 4444, seit 18 Monaten in der Implementierung, ermöglicht Layer-7-Traffic-Steuerung (gRPC, HTTP/2) ohne dedizierte Envoy- oder Istio-Proxy-Container pro Pod. In traditionellen Istio-Installationen (Version 1.24, Stand April 2026) belegt jeder Sidecar zwischen 50 und 120 MiB RAM sowie 100-300 Millisekunden Cold-Start-Latenz. In einem Cluster mit 5.000 Pods summiert sich das auf 250-600 GiB zusätzlichen Speicherverbrauch allein für Proxy-Overhead.

Google Cloud hat den Ansatz als „Ambient Mesh“ in GKE 1.34 Preview (verfügbar ab 12. Mai 2026) prototypisch umgesetzt: Ein z-Tunnel-Agent läuft als DaemonSet pro Node, nicht pro Pod. L7-Verarbeitung geschieht über Waypoint-Proxies, die nur bei Bedarf für Namespaces mit aktiviertem mTLS gestartet werden. Benchmarks aus der Google Cloud Next 2026 Keynote (San Francisco, 3.-5. Mai) zeigen eine Reduktion der Pod-Startzeit von 1,8 Sekunden (Istio-Sidecar-Init) auf 0,4 Sekunden (Ambient-Node-Tunnel). Der RAM-Overhead pro Pod sinkt um durchschnittlich 87 Prozent — von 85 MiB auf 11 MiB.

Solo.io, Maintainer von Istio und Gloo Mesh, bestätigt in der Istio 1.25 Roadmap (veröffentlicht 28. April 2026) die konzeptionelle Übernahme: „Waypoint Proxies werden der Default für Greenfield-Deployments im Q3 2026.“ Die CNCF listet Ambient Mesh als „incubating integration pattern“ für Kubernetes 1.34 in der Dokumentation. Für Unternehmen bedeutet das: Bestehende Istio-Installationen müssen nicht sofort migriert werden, aber neue Microservices-Architekturen profitieren sofort von reduziertem Ressourcen-Footprint. Die Gleichung ist gelöst: Sidecarless Service Mesh reduziert Kosten, beschleunigt Skalierung und eliminiert ein ganzes Klassenkategorie von Init-Container-Deadlocks.

Dynamic Resource Allocation (DRA) 2.0 — GPUs ohne manuelle Device-Plugins

Die zweite Säule von Cedar ist DRA 2.0, spezifiziert in KEP 3756. Seit Kubernetes 1.26 existiert DRA als Alpha-Feature; mit 1.34 erreicht es Beta-Status und aktiviert sich standardmäßig in Clustern mit aktiviertem DynamicResourceAllocation Feature Gate. Das Problem, das DRA löst, ist fundamental: Das alte Device-Plugin-Framework (v1beta1) erlaubt nur ganze-GPU-Zuweisung. Ein Pod, der 4 GiB VRAM auf einer NVIDIA A100 mit 80 GiB benötigt, bekommt die gesamte Karte — 76 GiB verschwendet. Bei Kosten von 8.000-12.000 US-Dollar pro A100 in Cloud-Instanzen (AWS p4d.24xlarge, Google Cloud a2-ultragpu-8g, Stand Mai 2026) summiert sich das zu sechsstelliger jährlicher Verschwendung.

DRA 2.0 führt strukturierte Parameter ein: Ressourcenklassen (ResourceClass) und Resource Claims (ResourceClaim) erlauben feingranulare Anforderungen. Ein Training-Job für Stable Diffusion XL kann nun spezifizieren: „2 GiB VRAM, CUDA 12.4, Compute Capability größer gleich 8.6.“ Der Scheduler platziert den Pod auf einem Node mit NVIDIA H100 (80 GiB) und reserviert exakt 2 GiB via Time-Slicing oder MIG (Multi-Instance GPU). AMD unterstützt DRA 2.0 mit ROCm 6.2 (veröffentlicht 22. April 2026) für Instinct MI300X; Intel hat XPU-Unterstützung für Data Center GPU Flex 170 in der Pipeline angekündigt.

Red Hat integriert DRA 2.0 in OpenShift 4.18 (GA erwartet Juni 2026) als „GPU-aware Scheduling“. Interne Benchmarks von Red Hat zeigen eine Pod-Dichte-Steigerung von 3,2 auf 14,7 Pods pro H100-Node bei ML-Inference-Workloads. Die GPU-Auslastung steigt von durchschnittlich 18 Prozent (Device-Plugin-Modus) auf 67 Prozent (DRA 2.0 mit MIG). Die folgende Vergleichstabelle fasst die Unterschiede zusammen:

Merkmal | Device-Plugin v1beta1 | DRA 2.0 (Beta)

Granularität | Ganze GPU | VRAM-Slices, Compute-Slices

NVIDIA MIG | Manuell (nvidia-mig-parted) | Automatisch via ResourceClaim

AMD ROCm | Nicht unterstützt | ROCm 6.2+

Scheduling-Logik | Binär (passt/nicht passt) | Feingranular (2 GiB, FP16, mindestens 8 Cores)

Pod-Dichte H100 | 1-2 Pods/Karte | 8-16 Pods/Karte

Feature Gate | Keiner | DynamicResourceAllocation

Für Enterprise-Teams, die GPU-Cluster betreiben, ist DRA 2.0 nicht optional — es ist die Voraussetzung, um Cloud-Kosten bei gleichbleibender Inference-Leistung zu halbieren.

Containerd 2.0 als Default Runtime — NRI, Sandbox-API und WebAssembly-Shim

Mit Kubernetes 1.34 wird containerd 2.0 zur empfohlenen Default-Container-Runtime. Containerd 1.7, seit 2023 der de-facto-Standard, erreicht End-of-Life im Dezember 2026. Version 2.0, veröffentlicht von der CNCF-containerd-Maintainer-Gruppe am 15. April 2026, bringt drei architektonische Änderungen: die Node Resource Interface (NRI), eine stabilisierte Sandbox-API und einen produktionsreifen WebAssembly (Wasm) Shim.

NRI erlaubt das Injizieren von OCI-Runtime-Hooks ohne direkte containerd-Source-Modifikation. NVIDIA, AMD und Intel nutzen NRI bereits für GPU-Visible-Device-Injection, was das frühere nvidia-container-runtime-Wrapper-Setup überflüssig macht. Die Sandbox-API abstrahiert Container-Isolationsschichten (runc, gVisor, Kata Containers) als einheitliche Schnittstelle. In Benchmarks des CNCF Performance Working Group (veröffentlicht 29. April 2026) starten Kata-Containers über containerd 2.0 23 Prozent schneller (780 ms vs. 1.020 ms) bei gleichbleibendem Memory-Footprint.

Der Wasm-Shim (verfügbar über containerd-shim-spin-v1 oder containerd-shim-wasmtime-v1) ermöglicht die Ausführung von WebAssembly-Workloads direkt im Kubernetes-Scheduling. Fermyon Technologies meldete am 4. Mai 2026, dass Spin 3.0 mit containerd 2.0 getestet ist und Cold-Start-Zeiten von 2,3 Millisekunden erreicht — im Vergleich zu 180 ms für eine minimale Go-Microservice im selben Cluster. Der Vergleich mit CRI-O (Version 1.32, Red Hat/OpenShift-Standard) zeigt: CRI-O hat NRI-Unterstützung angekündigt, aber noch nicht implementiert. containerd 2.0 ist damit die einzige Runtime, die alle Cedar-Features (DRA 2.0, Sidecarless Mesh, Wasm) nativ unterstützt.

Sicherheit: ImagePullPolicy Always, SBOM-Validierung und SLSA Level 3

Cedar verschärft die Supply-Chain-Sicherheit auf drei Ebenen. Erstens: Die Standardeinstellung für imagePullPolicy in Pods ohne explizite Tag-Angabe wechselt von „IfNotPresent“ zu „Always“. Das verhindert, dass Nodes mit veralteten, lokal gecachten Images arbeiten — ein Risiko, das beim Log4j-Incident (Dezember 2021) und der xz-Backdoor (März 2024) signifikant war. Zweitens: Kubernetes 1.34 akzeptiert OCI-Artifacts mit eingebetteten SBOMs (Software Bill of Materials) im SPDX- oder CycloneDX-Format. Der kubelet vergleicht bei jedem Pull die SBOM-Signatur mit einem im Cluster hinterlegten Public Key. Sigstore/cosign (Version 2.5, veröffentlicht 17. April 2026) wird als Referenzimplementierung empfohlen.

Drittens: Pod Security Admission (PSA), eingeführt in 1.23, setzt mit Cedar den „restricted“-Standard als Default für alle neu erstellten Namespaces ohne explizite Policy. Das bedeutet: Container müssen als Non-Root laufen, Seccomp-Profile sind Pflicht, und Capabilities sind auf ein Minimum reduziert. Die Tenable-Studie „State of Cloud Security 2026“ (veröffentlicht 30. April) identifiziert 34 Prozent aller produktiven Kubernetes-Cluster als „nicht PSA-restricted-konform“ — Cedar zwingt diese 34 Prozent zur Anpassung bei jedem neuen Deployment.

Die Kombination aus ImagePullPolicy Always plus SBOM-Validierung plus PSA restricted entspricht in etwa dem SLSA (Supply-chain Levels for Software Artifacts) Level 3. Google und GitHub haben SLSA als De-facto-Standard für Open-Source-Sicherheit etabliert; Cedar bringt diese Prinzipien in die Kubernetes-Core-Engine.

Migrationstabelle und Upgrade-Checkliste

Komponente | 1.33 Status | 1.34 Änderung | Handlungsbedarf

Device-Plugin API | v1beta1 (Deprecated) | v1beta1 entfernt in 1.36 | Migration zu DRA 2.0 starten

containerd | 1.7 (Default) | 2.0 (Default) | Node-Runtime upgrade planen

kube-proxy IPVS | Stable | Weiterhin Stable | Kein Handlungsbedarf

Sidecar Injection | Manuell (Istio, Linkerd) | Nativ via KEP 4444 (Alpha) | Test-Cluster evaluieren

PodSecurityPolicy | Entfernt (1.25) | Pod Security Admission Default restricted | Namespace-Policies prüfen

API Priority and Fairness | Beta | Stable | Kein Handlungsbedarf

Validating Admission Policy | Beta | Stable | Rego/OPA-Regeln migrieren

ImagePullPolicy | IfNotPresent (Default untagged) | Always (Default untagged) | Bandbreite/Registry prüfen

Für das Upgrade von 1.33 auf 1.34 empfiehlt die CNCF folgende Reihenfolge: Kubeadm auf Control-Plane-Knoten aktualisieren (kube-apiserver, kube-scheduler, kube-controller-manager), anschließend Worker-Nodes mit rolling-update (maxUnavailable: 1), abschließend CNI-Plugin und CoreDNS. Die Mindestversion für etcd bleibt 3.5.13; ein Upgrade auf etcd 3.5.17 wird empfohlen, um Write-Leistung bei DRA-Ressourcen-Updates um 12 Prozent zu steigern.

Kostenanalyse: Was Cedar für das Cloud-Budget bedeutet

Eine konkrete Kostenbetrachtung verdeutlicht den wirtschaftlichen Impact. Ein typischer Enterprise-Cluster mit 200 Nodes (m6i.8xlarge-Äquivalente bei AWS, ca. 32 vCPU, 128 GiB RAM je Node) und 8.000 Pods kostet bei On-Demand-Preisen etwa 45.000 US-Dollar pro Monat allein für Compute. Der Istio-Sidecar-Overhead von durchschnittlich 70 MiB pro Pod summiert sich zu 560 GiB RAM — das entspricht 4,4 zusätzlichen Nodes oder 990 US-Dollar pro Monat. Mit Ambient Mesh reduziert sich dieser Overhead auf 88 GiB (11 MiB pro Pod), was 872 US-Dollar pro Monat Einsparung bedeutet. Über drei Jahre (typischer Cloud-Vertragszyklus) ergeben sich 31.392 US-Dollar Einsparung allein durch Sidecar-Eliminierung.

Die GPU-Kostenreduktion durch DRA 2.0 ist dramatischer. Ein ML-Inference-Cluster mit 20 NVIDIA H100-Karten (je 25.000 US-Dollar bei Reserved-Instances über 3 Jahre) kostet 500.000 US-Dollar Kapitalaufwand. Bei Device-Plugin-Modus werden durchschnittlich 18 Prozent der GPU-Kapazität genutzt — das entspricht einem effektiven Preis von 138.889 US-Dollar pro genutzter GPU-Leistungseinheit. Mit DRA 2.0 steigt die Auslastung auf 67 Prozent, was den effektiven Preis auf 37.313 US-Dollar pro Einheit senkt. Die Einsparung von 101.576 US-Dollar pro Einheit über 3 Jahre rechtfertigt allein die Investition in DRA-Migration und Schulung.

Diese Zahlen setzen voraus, dass die Workloads tatsächlich feingranular schedulbar sind. Nicht jeder Training-Job profitiert von Time-Slicing — Workloads mit hoher Inter-Pod-Kommunikation (zum Beispiel verteiltes Training mit NCCL) benötigen weiterhin ganze Karten. Die Entscheidungsmatrix ist klar: Inference-Workloads mit variabler Batch-Größe profitieren maximal; Training-Workloads mit synchronisiertem Gradient-Descent profitieren minimal.

Fazit

Kubernetes 1.34 „Cedar“ ist kein inkrementelles Update — es ist die Konsolidierung von drei parallelen Evolutionen: Service Mesh ohne Sidecar-Overhead, GPU-Scheduling ohne Verschwendung und Container-Runtime ohne Legacy-Wrapper. Unternehmen, die bislang Kubernetes als „nur ein Orchestrator“ betrachtet haben, müssen die Plattform nun als vollwertige Infrastruktur-Schicht für Kostenoptimierung und Sicherheit neu bewerten.

Die konkrete Handlungsempfehlung für Enterprise-Teams: Richten Sie im Mai/Juni 2026 einen 1.34-Test-Cluster mit drei Nodes ein (Control-Plane, GPU-Worker mit NVIDIA H100 oder A100, Standard-Worker). Migrieren Sie ein bestehendes Microservice-Deployment (zum Beispiel ein Java-Spring-Boot-Service mit 50-100 Pods) in den Test-Cluster und aktivieren Sie Ambient Mesh via networking.istio.io/ambient-mode: enabled. Messen Sie Pod-Startzeit und RAM-Verbrauch vorher/nachher. Parallel: Evaluieren Sie DRA 2.0 für Ihre GPU-Workloads, indem Sie einen ML-Inference-Pod mit ResourceClaim statt Device-Plugin deployen. Die Ergebnisse liefern die Datenbasis für eine produktionsreife 1.34-Migration im Q3 2026. Die Zeit zu handeln ist jetzt — Cedar legt den Grundstein für die Kubernetes-Architektur der nächsten drei Jahre.