资讯专栏INFORMATION COLUMN

先睹为快 ▏Kubernetes 1.5有哪些你不得不知的新功能?

tigerZH / 982人阅读

摘要:今年月份我们迎来了的惊喜发布,一大波新功能让人眼花缭乱。为了提供安全保障,集群不会强行删除未响应节点上的,如果用户通过强行删除会收到警告。已知问题已知问题及限制。你不需要调整的该参数的没有授权。

今年9月份我们迎来了Kubernetes 1.4的惊喜发布,一大波新功能让人眼花缭乱。经过将近三个月时间的打磨,如今Kubernetes再推出新版本,翘首以盼的Kubernetes 1.5重磅发布,本次版本更新涵盖了4个主题、12个新特性以及4个原有基础上的重大变更。期待不如眼疾手快,翻阅文章内容,享受一场Kubernetes 1.5的饕餮大餐吧~

主题简介:

1、StatefulSets (原名PetSets)

StatefulSets 现在是 beta 版 (主要是修复和稳定性)

2、改善联邦支持

新命令:kubefed

DaemonSets

部署

Configmaps

3、简化集群部署

改进kubeadm

Master的HA设置

4、节点鲁棒性及可扩展性

支持Windows Service容器

实现了CRI(容器运行时接口)

添加kubelet API调用时身份验证和授权

新特性简介:

1、API 机制

[beta] kube-apiserver支持OpenAPI从alpha移动到beta, 第一个non-go客户端是基于此特性。

2、应用

[Stable]当replica sets不能创建Pods时,它们将通过API报告失败的详细底层原因。

[Stable] kubectl apply现可通过--prune删除不再需要的资源

[beta] Deployments现可通过API升级到新版本,而之前是无法通过滚动来进行升级的

[beta] StatefulSets允许要求持久化identity或单实例存储的工作负载从而在Kubernetes创建和管理。

[beta]为了提供安全保障,集群不会强行删除未响应节点上的Pods,如果用户通过CLI强行删除Pods会收到警告。

3、认证

[Alpha]改进了基于角色的访问控制alpha API。(包括一组默认的集群角色)

[Beta]添加了对Kubelet API访问的认证/授权机制。

4、AWS

[stable]角色出现在kubectl get nodes的结果里。

5、集群生命周期

[alpha] 提升了kubeadm二进制包的交互和可用性,从而更易于新建一个运行集群。

6、集群运维

[alpha] 在GCE上使用kube-up/kube-down脚本来创建/移除集群高可用(复制)的主节点。

7、联邦

[beta] 支持联邦ConfigMaps。

[alpha] 支持联邦Daemonsets。

[alpha] 支持联邦Deployments。

[alpha]集群联邦:为联邦资源添加对于DeleteOptions.OrphanDependents的支持。

[alpha]引入新命令行工具:kubefed,简化联邦控制台的部署以及集群注册/注销体验。

8、网络

[stable]服务可以通过DNS名称被其他服务引用,而不是只有在pods里才可以。

[beta]为NodePort类型和LoadBalancer的服务保留源IP的选项。

[stable]启用beta ConfigMap参数支持的DNS水平自动伸缩

9、节点

[alpha]支持在容器运行时启用用户命名空间重映射的时候,保留对宿主用户命名空间的访问。

[alpha]引入了v1alpha1版本的CRI(容器运行时接口) API,它允许可插拔的容器运行时;现有一个已经就绪的用于测试和反馈的docker-CRI集成。

[alpha]Kubelet基于QoS层在每个Pod的CGroup层级里启动容器。

[beta]Kubelet集成了memcg提示消息API,来检测是否超过阈值。

[beta]引入了Beta版本的容器化节点一致性测试: gcr.io/google_containers/node-test:0.2。从而让用户验证node设置。

10、调度

[alpha]添加了对不透明整数资源(node级)的审计支持。

[beta] PodDisruptionBudget已经升级到Beta版,当想要应用SLO时,可以用来安全地drain节点。

11、UI

[stable]Dashboard UI如今显示面向用户的对象及它们的资源使用情况。

12、Windows

[alpha]添加了对Windows Server 2016节点和调度Windows Server Container的支持。

已知问题

CRI已知问题及限制。

当volume路径包含空格时,DeviceNameFromMount()函数不能正确的返回volume路径。

联邦alpha版的特性不具有特征定义,因此默认启用,在未来的版本中将修复这一问题。

联邦控制面板可通过更新控制面板组件Deployment规格的镜像字段来进行升级,然而在该版本中联邦控制面板升级尚未进行测试。

重大改变

1、节点控制器不再强行删除来源于apiServer的pods

对于有状态的应用StatefulSet(原名为 PetSet)而言,这个改动意味着创建替换的Pods被阻塞,直到旧的Pods确定不再运行(意味着kubelet从分区返回,Node对象的删除,云服务商里实例的删除,或强行删除api-Server里的Pod)。这里通过确保不可达的Pod不会被认为已经死亡来防止集群应用出现“脑裂”的状况,除非一些“包围”操作提供了上述之一的情况。

对于其他现有的除StatefulSet外的控制器,这对于控制器替换Pods没有影响,因为控制器不会重用Pods名称(他们使用generate-name)

用户编写的控制器会重用Pod对象的名称,应该考虑这个变化。

当使用kubectl delete ... --grace-period=0 删除一个对象时,客户端将开始进行优雅的删除并等待,直到资源完全被删除。要立即强制删除,使用--force 标志。这可以防止用户不小心让两个Stateful Set共享可能导致数据损坏的相同的持久存储。

2、允许匿名API服务器的访问,通过授权组系统设置认证的用户

kube-apiserver添加了--anonymous-auth 标志,默认为true。当它启用时,访问安全端口的请求不会被其他配置的认证方法所拒绝,这些请求被当做匿名请求,并且用户名为system:anonymous,组织为system:unauthenticated。
认证的用户被设为system:authenticated组。

3、即使路径是用于类型的有效字段,如果路径在json文件下不提供字段,kubectl get -o jsonpath=... 将抛出一个错误。这个改变从pre-1.5版本开始,即使他们目前不在 json文件下,也会返回一些字段的默认值。

4、对于VolumeMounts的strategicmerge patchMergeKey是由“名称”到“mountPath”的改变。这是必要的,因为名称字段引用Volume的名称,并且不是VolumeMount的唯一键。如果安装多个相同的volume,多个VolumeMounts将有同样的 Volume名称。“mountPath”是独一无二的,并可以作为mergekey。

升级前注意事项

1、升级前重要的安全相关改变

必须在kube-apiserver设置--anonymous-auth=false参数,除非你是一个测试该功能的开发者并且了解它。如果不这样,你会允许未经授权的用户访问你的apiserver。

必须在联邦apiserver设置--anonymous-auth=false参数,除非你是一个测试该功能的开发者并且了解它。如果不这样,你会允许未经授权的用户访问你的联邦apiserver。你不需要调整kublete的该参数:1.4的Kubelet APIs没有授权。

2、batch/v2alpha1.ScheduledJob被重命名为batch/v2alpha1.CronJob。

3、PetSet被重命名为StatefulSet。如果你现在有PetSets,你要在升级为StatefulSets前后进行一些额外的迁移操作。

4、如果你从v1.4.x升级你的集群联邦组件,请更新你的federation-apiserver和federation-controller-manager到新版本。

5、废弃的kubelet --configure-cbr0参数被移除。经典的网络模式也是。如果你依赖于此模式,请调研其他的网络插件kubenet或cni是否满足需求。

6、新的client-go结构,参考kubernetes/client-go进行版本控制策略。

7、废弃的kube-scheduler --bind-pods-qps和--bind-pods burst参数被移除,替换为--kube-api-qps和--kube-api-burst。

8、如果你需要使用1.4的特性:PodDisruptionBudget(例如创建了PodDisruptionBudget对象),那么在从1.4升级为1.5之前,你一定要删除所有创建的PodDisruptionBudget对象(policy/v1alpha1/PodDisruptionBudget)。升级之后不可能删除这些对象。它们的存在也会妨碍你使用1.5里Beta版的PodDisruptionBudget特性(policy/v1beta1/PodDisruptionBudget)。如果你已经进行了升级,那么你需要降级到1.4来删除这些policy/v1alpha1/PodDisruptionBudget对象。

tips:查看更多精彩内容?关注公众号:tenxcloud2(时速云订阅号),我们后续还会发布kubernetes 1.5相关文章,大家持续关注哦~

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/32528.html

相关文章

  • 才云科技CTO邓德源:不可不知谷歌集群管理经验

    摘要:曾为美国谷歌集群管理组核心成员,主要参与开发集群管理系统。保证系统升级软硬件错误等均能及时被发现并处理,谷歌集群能小时不间断工作。关于集群管理经验,首先一定要专注于持久的运维自动化工具开发。 本文仅用于学习和交流目的,不得用于商业目的。非商业转载请注明作译者、出处,并保留本文的原始链接:http://www.ituring.com.cn/art... 访谈嘉宾: 邓德源, 才云科技CT...

    callmewhy 评论0 收藏0
  • 才云科技CTO邓德源:不可不知谷歌集群管理经验

    摘要:曾为美国谷歌集群管理组核心成员,主要参与开发集群管理系统。保证系统升级软硬件错误等均能及时被发现并处理,谷歌集群能小时不间断工作。关于集群管理经验,首先一定要专注于持久的运维自动化工具开发。 本文仅用于学习和交流目的,不得用于商业目的。非商业转载请注明作译者、出处,并保留本文的原始链接:http://www.ituring.com.cn/art... 访谈嘉宾: 邓德源, 才云科技CT...

    Pines_Cheng 评论0 收藏0
  • 不得不知容器生态圈发展趋势

    摘要:自推出以来,许多重大的里程碑事件都推动了容器革命。它支持广泛的编程语言基础设施选项,并获得容器生态系统的巨大支持。结论容器生态系统仍然在不断发展与改变。最值得关注的,是在这一领域中,和各个供应商是如何进步,以推动容器生态系统的发展的。 Docker于 2013年推出以来,给软件开发带来了极具传染性的振奋和创新,并获得了来自各个行业、各个领域的巨大的支持——从大企业到初创公司,从研发到各...

    Scott 评论0 收藏0
  • 不得不知容器生态圈发展趋势

    摘要:自推出以来,许多重大的里程碑事件都推动了容器革命。它支持广泛的编程语言基础设施选项,并获得容器生态系统的巨大支持。结论容器生态系统仍然在不断发展与改变。最值得关注的,是在这一领域中,和各个供应商是如何进步,以推动容器生态系统的发展的。 Docker于 2013年推出以来,给软件开发带来了极具传染性的振奋和创新,并获得了来自各个行业、各个领域的巨大的支持——从大企业到初创公司,从研发到各...

    z2xy 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<