从单机Prometheus到Thanos再到Mimir，监控架构演变的本质是面对不同规模痛点的哲学抉择。Thanos通过非侵入式外挂组件实现平滑扩展，而Mimir将Prometheus降级为采集代理，走中心化Remote Write路线。Mimir在超大规模场景下通过减少对象存储API调用、消除降采样依赖和极致索引压缩，成为成本杀手。选型不是升级而是抉择：中型集群选Thanos，超大规模多租户选Mimir。

Kubernetes 1.34/1.35 引入原生自动化 mTLS 和 Pod Certificates，Pod 可自动申请小时级短活证书，无需 sidecar。证书管理从手动轮转的运维地狱变为零信任天堂，自管集群运维时间降低 90%，云 K8s 开箱即用。迁移成本极低，但需注意证书 TTL 固定、私钥不可导出等限制。

Kubernetes v1.33 至 v1.35 三个版本将平台从容器编排器升级为 AI 算力与零信任底座。v1.33 实现原生 Sidecar GA 并默认启用用户命名空间增强安全；v1.34 的 DRA 和 Node Swap GA 为 GPU/AI 调度提供原生支持；v1.35 的 In-Place Pod Resize GA 实现零中断弹性伸缩，Pod 证书 Beta 为无代理 mTLS 奠定基础。

IngressNightmare（CVE-2025-1974）CVSS 9.8，攻击者可未认证RCE控制ingress-nginx控制器，泄露全集群Secret。短期需紧急升级至v1.11.5/v1.12.1并封闭Admission Webhook公网暴露。长期应迁移至Gateway API，其结构化CRD替代注解注入，降低配置漏洞风险，支持多实现切换，提升安全与运维灵活性。