【CSDN 编者按】自 2014 年 Kubernetes 首次面世以来,这套基于开源且能在集群服务器上部署应用和容器的系统就备受业界喜爱。目前 Kubernetes 发布了 1.25 版本,该版本共包含 40 项增强功能。其中 15 项增强功能进入Alpha 阶段,10 项正升级至 Beta 阶段,另有 13 项进入 Stable 稳定阶段。此外,有两项功能被弃用或移除。
Kubernetes(K8s)是用于自动部署,扩展和管理容器化应用程序的开源系统,同时,得益于有效降低成本、加快应用部署速度、让软件具有可扩展性与高可用性等优势,Kubernetes 甚至一度被行业从业者视为是云平台基础设施的未来与标准。下面我们参考官博发布的《Kubernetes v1.25: Combiner》,一起来看看该版本的详细变化。
此版本的主题是Combiner,可理解为组合器,下图是该主题相配套的Logo。
K8s 项目本身是由很多很多单独的组件组成的,这些组件组合在一起就形成了你今天看到的这个项目。它也是由许多人建立和维护的,所有这些人都有不同的技能、经验、历史和兴趣,他们不仅作为发布团队,而且作为许多SIG,常年支持该项目和社区。
通过此次发布,官方团队也希望表达一下对合作、开放精神的崇敬之意。正因为来自全世界孤立开发者、作者和用户的共同协作与努力,才形成了一股改变世界的联合力量。K8s 1.25版本发布了多达40项增强功能,如果没有这些强有力地协作,就不会有这些增强功能的诞生。
受到发布负责人的儿子Albert Song启发,该版本的命名也是为每位参与者所设立,无论大家选择何种贡献方式,K8s的诞生,都离不开大家的开放合作。
接下来看看该版本都有哪些重要的主题更新。
值得关注的重要更新
PodSecurityPolicy 被移除,Pod Security Admission 升级至稳定阶段
PodSecurityPolicy 在 1.21 版本中就已经遭到了弃用,因为对其进行可用性的改进与更新会带来一些破坏性变化,为了更友好地替代,我们找到了 Pod Security Admission,目前在该版本中已正式升级到稳定版,如果你目前仍然依赖PodSecurityPolicy,可以参考官方说明迁移至 Pod Security Admission(https://kubernetes.io/docs/tasks/configure-pod-container/migrate-from-psp/)。
Ephemeral 容器也升级至稳定版
Ephemeral Containers 是在现有的 Pod 中只存在有限时长的容器。当你需要检查另一个容器时,却不能使用 kubectl exec,因为该容器已经崩溃或其图像缺乏调试工具时,这对故障排除特别有用。Ephemeral 容器在 Kubernetes v1.23 中被评为 Beta 版,而在这个版本中,升级至稳定版。
cgroups v2 进入稳定版
Linux 内核中的 cgroups v2 AP 进入稳定版状态已有 2 年时间了,K8s 必须支持它继续在发行版上运行。cgroups v2 比 cgroups v1 提供了一些改进,更多信息见cgroups v2文档(https://kubernetes.io/docs/concepts/architecture/cgroups/)。虽然 cgroups v1 将继续被支持,但这一改进使我们能够为其最终的废弃和替代做好准备。
改进对 Widnows 支持
具体有:
性能仪表板增加了对 Windows 的支持
单元测试增加了对 Windows 的支持
符合性测试增加了对 Windows 的支持
为 Windows Operational Readiness 创建了新的 GitHub 资源库
容器注册表服务从 k8s.gcr.io 移至 registry.k8s.io
容器注册服务从 k8s.gcr.io 移到 registry.k8s.io 已经合并了。更多细节请见wiki页面(https://github.com/kubernetes/k8s.io/wiki/New-Registry-url-for-Kubernetes-(registry.k8s.io)),公告(https://groups.google.com/a/kubernetes.io/g/dev/c/DYZYNQ_A6_c/m/oD9_Q8Q9AAAJ)已发至 K8s 开发邮件列表。
SeccompDefault 升级至 Beta 版本
更多细节可参考《用seccomp限制容器的系统调用》(https://kubernetes.io/docs/tutorials/security/seccomp/#enable-the-use-of-runtimedefault-as-the-default-seccomp-profile-for-all-workloads)
将网络策略中的 endPort 晋升为稳定版
支持 endPort 字段的网络策略提供者现在可以使用它来指定应用网络策略的端口范围。以前,每个网络策略只能针对一个单一的端口。请注意,网络策略提供者必须支持 endPort 字段。如果供应商不支持 endPort,并且在网络策略中指定了这个字段,那么创建的网络策略将只覆盖端口字段(单一端口)。
将本地临时存储容量隔离提升到稳定状态
本地临时存储容量隔离功能提升到 GA。该功能在 1.8 版本中被引入 Alpha 版本,在 1.10 版本中转为测试版本,现在是一个稳定功能。它提供了对 Pod 之间本地短暂存储的容量隔离的支持,例如 EmptyDir,这样,如果一个 Pod 对本地短暂存储的消耗超过了该限制,就可以通过驱逐 Pod 来硬限制其对共享资源的消耗。
CSI Migration 进入稳定状态
CSI 迁移是 SIG Storage 在几个版本中一直在进行的努力。其目标是将树内卷插件转移到树外 CSI 驱动,并最终删除树内卷插件。核心的 CSI 迁移功能转移到了 GA。用于 GCE PD 和 AWS EBS 的 CSI 迁移功能也转移到了 GA。用于 vSphere 的 CSI 迁移功能仍处于测试阶段(但默认情况下是开启的)。用于 Portworx 的 CSI 迁移功能转为测试版(但默认是关闭的)。
CSI Ephemeral Volume 升至稳定状态
CSI Ephemeral Volume 功能允许在 pod 规范中直接指定 CSI 卷,它们可用于直接在使用挂载卷的 pod 内注入任意状态,如配置、秘密、身份、变量或类似信息。这最初是在 1.15 中作为 alpha 功能引入的,目前升级到 GA。这个功能被一些 CSI 驱动所使用,比如秘密存储 CSI 驱动。
CRD 验证表达式升至 Beta
这使得使用通用表达式语言(CEL)声明自定义资源的验证方式成为可能。请参阅验证规则指南(https://kubernetes.io/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/#validation-rules)
服务器端未知字段验证进入 Beta
将服务器端字段验证(ServerSideFieldValidation)功能门推广到测试版(默认为打开)。这允许在 API 服务器上选择性地触发模式验证,在检测到未知字段时出错。这允许从 kubectl 中移除客户端验证,同时保持相同的核心功能,即对包含未知或无效字段的请求进行错误处理。
引入 KMS v2 API
引入 KMS v2alpha1 API,以增加性能、旋转和可观察性的改进。用 DEK 加密静态数据(即Kubernetes Secrets),使用 AES-GCM 而不是 AES-CBC 进行 KMS 数据加密。不需要用户操作。使用 AES-GCM 和 AES-CBC 的读取将继续被允许。
其它更新,升级到稳定状态
此版本共包含了13个升级至稳定版的增强功能:
临时容器
本地临时存储资源管理
CSI Ephemeral Volumes
CSI Migration - Core
将 kube-scheduler 的 ComponentConfig 升级到 GA
CSI迁移--AWS
CSI迁移--GCE
DaemonSets支持MaxSurge
NetworkPolicy端口范围
cgroups v2
Pod Security Admission
在 Statefulsets 中添加 minReadySeconds
在 API 准入级别上权威地识别 Windows pods
弃用和删除的功能
PodSecurityPolicy被删除
GlusterFS插件已从可用的树内驱动中废弃
关于K8s 1.25版本的详细信息,可以在https://github.com/kubernetes/kubernetes/releases/tag/v1.25.0查看。
参考链接:https://kubernetes.io/blog/2022/08/23/kubernetes-v1-25-release/
— 推荐阅读 —
在《新程序员003:云原生和全面数字化实践中》,我们特邀请了Kubernetes联合创始人Brendan Burns分享了K8s 的变革利器、现在以及未来规划。感兴趣的小伙伴可以扫描下方二维码订阅。