V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
Tenxcloud10
V2EX  ›  云计算

先睹为快 ▏Kubernetes 1.5 有哪些你不得不知的新功能?

  •  
  •   Tenxcloud10 · 2016-12-15 15:41:44 +08:00 · 2249 次点击
    这是一个创建于 2901 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今年 9 月份我们迎来了 Kubernetes 1.4 的惊喜发布,一大波新功能让人眼花缭乱。经过将近三个月时间的打磨,如今 Kubernetes 再推出新版本,翘首以盼的 Kubernetes 1.5 重磅发布,本次版本更新涵盖了4 个主题、 12 个新特性以及 4 个原有基础上的重大变更。期待不如眼疾手快,翻阅文章内容,享受一场 Kubernetes 1.5 的饕餮大餐吧~

    主题简介:

    1 、 StatefulSets (原名 PetSets)

    • StatefulSets 现在是 beta 版 (主要是修复和稳定性)

    2 、改善联邦支持

    • 新命令: kubefed
    • DaemonSets
    • 部署
    • Configmaps

    3 、简化集群部署

    • 改进 kubeadm
    • Master 的 HA 设置

    4 、节点鲁棒性及可扩展性

    • 支持 Windows Service 容器
    • 实现了 CRI (容器运行时接口)
    • 添加 kubelet API 调用时身份验证和授权

    新特性简介:

    1 、 API 机制

    • [beta] kube-apiserver 支持 OpenAPI 从 alpha 移动到 beta, 第一个 non-go 客户端是基于此特性。

    2 、应用

    • [Stable]当 replica sets 不能创建 Pods 时,它们将通过 API 报告失败的详细底层原因。
    • [Stable] kubectl apply 现可通过--prune 删除不再需要的资源
    • [beta] Deployments 现可通过 API 升级到新版本,而之前是无法通过滚动来进行升级的
    • [beta] StatefulSets 允许要求持久化 identity 或单实例存储的工作负载从而在 Kubernetes 创建和管理。
    • [beta]为了提供安全保障,集群不会强行删除未响应节点上的 Pods ,如果用户通过 CLI 强行删除 Pods 会收到警告。

    3 、认证

    • [Alpha]改进了基于角色的访问控制 alpha API 。(包括一组默认的集群角色)
    • [Beta]添加了对 Kubelet API 访问的认证 /授权机制。

    4 、 AWS

    • [stable]角色出现在 kubectl get nodes 的结果里。

    5 、集群生命周期

    • [alpha] 提升了 kubeadm 二进制包的交互和可用性,从而更易于新建一个运行集群。

    6 、集群运维

    • [alpha] 在 GCE 上使用 kube-up/kube-down 脚本来创建 /移除集群高可用(复制)的主节点。

    7 、联邦

    • [beta] 支持联邦 ConfigMaps 。
    • [alpha] 支持联邦 Daemonsets 。
    • [alpha] 支持联邦 Deployments 。
    • [alpha]集群联邦:为联邦资源添加对于 DeleteOptions.OrphanDependents 的支持。
    • [alpha]引入新命令行工具: kubefed ,简化联邦控制台的部署以及集群注册 /注销体验。

    8 、网络

    • [stable]服务可以通过 DNS 名称被其他服务引用,而不是只有在 pods 里才可以。
    • [beta]为 NodePort 类型和 LoadBalancer 的服务保留源 IP 的选项。
    • [stable]启用 beta ConfigMap 参数支持的 DNS 水平自动伸缩

    9 、节点

    • [alpha]支持在容器运行时启用用户命名空间重映射的时候,保留对宿主用户命名空间的访问。
    • [alpha]引入了 v1alpha1 版本的 CRI(容器运行时接口) API ,它允许可插拔的容器运行时;现有一个已经就绪的用于测试和反馈的 docker-CRI 集成。
    • [alpha]Kubelet 基于 QoS 层在每个 Pod 的 CGroup 层级里启动容器。
    • [beta]Kubelet 集成了 memcg 提示消息 API ,来检测是否超过阈值。
    • [beta]引入了 Beta 版本的容器化节点一致性测试: gcr.io/google_containers/node-test:0.2 。从而让用户验证 node 设置。

    10 、调度

    • [alpha]添加了对不透明整数资源(node 级)的审计支持。
    • [beta] PodDisruptionBudget 已经升级到 Beta 版,当想要应用 SLO 时,可以用来安全地 drain 节点。

    11 、 UI

    • [stable]Dashboard UI 如今显示面向用户的对象及它们的资源使用情况。

    12 、 Windows

    • [alpha]添加了对 Windows Server 2016 节点和调度 Windows Server Container 的支持。

    已知问题

    • CRI 已知问题及限制。
    • 当 volume 路径包含空格时, DeviceNameFromMount()函数不能正确的返回 volume 路径。
    • 联邦 alpha 版的特性不具有特征定义,因此默认启用,在未来的版本中将修复这一问题。
    • 联邦控制面板可通过更新控制面板组件 Deployment 规格的镜像字段来进行升级,然而在该版本中联邦控制面板升级尚未进行测试。

    重大改变

    1 、节点控制器不再强行删除来源于 apiServer 的 pods

    • 对于有状态的应用 StatefulSet(原名为 PetSet)而言,这个改动意味着创建替换的 Pods 被阻塞,直到旧的 Pods 确定不再运行(意味着 kubelet 从分区返回, Node 对象的删除,云服务商里实例的删除,或强行删除 api-Server 里的 Pod)。这里通过确保不可达的 Pod 不会被认为已经死亡来防止集群应用出现“脑裂”的状况,除非一些“包围”操作提供了上述之一的情况。

    • 对于其他现有的除 StatefulSet 外的控制器,这对于控制器替换 Pods 没有影响,因为控制器不会重用 Pods 名称(他们使用 generate-name)

    • 用户编写的控制器会重用 Pod 对象的名称,应该考虑这个变化。

    • 当使用 kubectl delete ... --grace-period=0 删除一个对象时,客户端将开始进行优雅的删除并等待,直到资源完全被删除。要立即强制删除,使用--force 标志。这可以防止用户不小心让两个 Stateful Set 共享可能导致数据损坏的相同的持久存储。

    2 、允许匿名 API 服务器的访问,通过授权组系统设置认证的用户

    • kube-apiserver 添加了--anonymous-auth 标志,默认为 true 。当它启用时,访问安全端口的请求不会被其他配置的认证方法所拒绝,这些请求被当做匿名请求,并且用户名为 system:anonymous ,组织为 system:unauthenticated 。 认证的用户被设为 system:authenticated 组。

    3 、即使路径是用于类型的有效字段,如果路径在 json 文件下不提供字段, kubectl get -o jsonpath=... 将抛出一个错误。这个改变从 pre-1.5 版本开始,即使他们目前不在 json 文件下,也会返回一些字段的默认值。

    4 、对于 VolumeMounts 的 strategicmerge patchMergeKey 是由“名称”到“ mountPath ”的改变。这是必要的,因为名称字段引用 Volume 的名称,并且不是 VolumeMount 的唯一键。如果安装多个相同的 volume ,多个 VolumeMounts 将有同样的 Volume 名称。“ mountPath ”是独一无二的,并可以作为 mergekey 。

    升级前注意事项

    1 、升级前重要的安全相关改变

    • 必须在 kube-apiserver 设置--anonymous-auth=false 参数,除非你是一个测试该功能的开发者并且了解它。如果不这样,你会允许未经授权的用户访问你的 apiserver 。

    • 必须在联邦 apiserver 设置--anonymous-auth=false 参数,除非你是一个测试该功能的开发者并且了解它。如果不这样,你会允许未经授权的用户访问你的联邦 apiserver 。你不需要调整 kublete 的该参数: 1.4 的 Kubelet APIs 没有授权。

    2 、 batch/v2alpha1.ScheduledJob 被重命名为 batch/v2alpha1.CronJob 。

    3 、 PetSet 被重命名为 StatefulSet 。如果你现在有 PetSets ,你要在升级为 StatefulSets 前后进行一些额外的迁移操作。

    4 、如果你从 v1.4.x 升级你的集群联邦组件,请更新你的 federation-apiserver 和 federation-controller-manager 到新版本。

    5 、废弃的 kubelet --configure-cbr0 参数被移除。经典的网络模式也是。如果你依赖于此模式,请调研其他的网络插件 kubenet 或 cni 是否满足需求。

    6 、新的 client-go 结构,参考 kubernetes/client-go 进行版本控制策略。

    7 、废弃的 kube-scheduler --bind-pods-qps 和--bind-pods burst 参数被移除,替换为--kube-api-qps 和--kube-api-burst 。

    8 、如果你需要使用 1.4 的特性:PodDisruptionBudget(例如创建了 PodDisruptionBudget 对象),那么在从 1.4 升级为 1.5 之前,你一定要删除所有创建的 PodDisruptionBudget 对象(policy/v1alpha1/PodDisruptionBudget)。升级之后不可能删除这些对象。它们的存在也会妨碍你使用 1.5 里 Beta 版的 PodDisruptionBudget 特性(policy/v1beta1/PodDisruptionBudget)。如果你已经进行了升级,那么你需要降级到 1.4 来删除这些 policy/v1alpha1/PodDisruptionBudget 对象。

    tips :查看更多精彩内容?关注公众号: tenxcloud2(时速云订阅号) , 我们后续还会发布 kubernetes 1.5 相关文章,大家持续关注哦~

    2 条回复    2016-12-16 11:20:00 +08:00
    dgkae
        1
    dgkae  
       2016-12-16 10:26:58 +08:00
    不错
    Tenxcloud10
        2
    Tenxcloud10  
    OP
       2016-12-16 11:20:00 +08:00
    @dgkae 感兴趣的话也可以翻阅一下我们之前发布的精彩内容。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   935 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:15 · PVG 06:15 · LAX 14:15 · JFK 17:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.