主題簡介
1、StatefulSets (原名PetSets)
StatefulSets 現在是 beta 版 (主要是修復和穩定性)
2、改善聯邦支持
新命令:kubefed DaemonSets 部署 Configmaps
3、簡化集羣部署
改進kubeadm Master的HA設置
4、節點魯棒性及可擴展性
支持Windows Service容器 實現了CRI(容器運行時接口) 添加kubelet API調用時身份驗證和授權
新特性簡介
1、API 機制
[beta] kube-apiserver支持OpenAPI從alpha移動到beta, 第一個non-go客戶端是基於此特性。
2、應用
[Stable]當replica sets不能創建Pods時,它們將通過API報告失敗的詳細底層原因。 [Stable] kubectl apply現可通過–prune刪除不再需要的資源 [beta] Deployments現可通過API升級到新版本,而之前是無法通過滾動來進行升級的 [beta] StatefulSets允許要求持久化identity或單實例存儲的工作負載從而在Kubernetes創建和管理。 [beta]爲了提供安全保障,集羣不會強行刪除未響應節點上的Pods,如果用戶通過CLI強行刪除Pods會收到警告。
3、認證
[Alpha]改進了基於角色的訪問控制alpha API。(包括一組默認的集羣角色) [Beta]添加了對Kubelet API訪問的認證/授權機制。
4、AWS
[stable]角色出現在kubectl get nodes的結果裏。
5、集羣生命週期
[alpha] 提升了kubeadm二進制包的交互和可用性,從而更易於新建一個運行集羣。
6、集羣運維
[alpha] 在GCE上使用kube-up/kube-down腳本來創建/移除集羣高可用(複製)的主節點。
7、聯邦
[beta] 支持聯邦ConfigMaps。 [alpha] 支持聯邦Daemonsets。 [alpha] 支持聯邦Deployments。 [alpha]集羣聯邦:爲聯邦資源添加對於DeleteOptions.OrphanDependents的支持。 [alpha]引入新命令行工具:kubefed,簡化聯邦控制檯的部署以及集羣註冊/註銷體驗。
8、網絡
[stable]服務可以通過DNS名稱被其他服務引用,而不是只有在pods裏纔可以。 [beta]爲NodePort類型和LoadBalancer的服務保留源IP的選項。 [stable]啓用beta ConfigMap參數支持的DNS水平自動伸縮
9、節點
[alpha]支持在容器運行時啓用用戶命名空間重映射的時候,保留對宿主用戶命名空間的訪問。 [alpha]引入了v1alpha1版本的CRI(容器運行時接口) API,它允許可插拔的容器運行時;現有一個已經就緒的用於測試和反饋的docker-CRI集成。 [alpha]Kubelet基於QoS層在每個Pod的CGroup層級裏啓動容器。 [beta]Kubelet集成了memcg提示消息API,來檢測是否超過閾值。 [beta]引入了Beta版本的容器化節點一致性測試: gcr.io/google_containers/node-test:0.2。從而讓用戶驗證node設置。
10、調度
[alpha]添加了對不透明整數資源(node級)的審計支持。 [beta] PodDisruptionBudget已經升級到Beta版,當想要應用SLO時,可以用來安全地drain節點。
11、UI
[stable]Dashboard UI如今顯示面向用戶的對象及它們的資源使用情況。
12、Windows
[alpha]添加了對Windows Server 2016節點和調度Windows Server Container的支持。 已知問題 CRI已知問題及限制。 當volume路徑包含空格時,DeviceNameFromMount()函數不能正確的返回volume路徑。 聯邦alpha版的特性不具有特徵定義,因此默認啓用,在未來的版本中將修復這一問題。 聯邦控制面板可通過更新控制面板組件Deployment規格的鏡像字段來進行升級,然而在該版本中聯邦控制面板升級尚未進行測試。
重大改變
1、節點控制器不再強行刪除來源於apiServer的pods
對於有狀態的應用StatefulSet(原名爲 PetSet)而言,這個改動意味着創建替換的Pods被阻塞,直到舊的Pods確定不再運行(意味着kubelet從分區返回,Node對象的刪除,雲服務商裏實例的刪除,或強行刪除api-Server裏的Pod)。這裏通過確保不可達的Pod不會被認爲已經死亡來防止集羣應用出現“腦裂”的狀況,除非一些“包圍”操作提供了上述之一的情況。
對於其他現有的除StatefulSet外的控制器,這對於控制器替換Pods沒有影響,因爲控制器不會重用Pods名稱(他們使用generate-name)用戶編寫的控制器會重用Pod對象的名稱,應該考慮這個變化。
當使用kubectl delete … –grace-period=0 刪除一個對象時,客戶端將開始進行優雅的刪除並等待,直到資源完全被刪除。要立即強制刪除,使用–force 標誌。這可以防止用戶不小心讓兩個Stateful Set共享可能導致數據損壞的相同的持久存儲。
2、允許匿名API服務器的訪問,通過授權組系統設置認證的用戶
kube-apiserver添加了–anonymous-auth 標誌,默認爲true。當它啓用時,訪問安全端口的請求不會被其他配置的認證方法所拒絕,這些請求被當做匿名請求,並且用戶名爲system:anonymous,組織爲system:unauthenticated。
認證的用戶被設爲system:authenticated組。
3、即使路徑是用於類型的有效字段,如果路徑在json文件下不提供字段,kubectl get -o jsonpath=… 將拋出一個錯誤。這個改變從pre-1.5版本開始,即使他們目前不在 json文件下,也會返回一些字段的默認值。
4、對於VolumeMounts的strategicmerge patchMergeKey是由“名稱”到“mountPath”的改變。這是必要的,因爲名稱字段引用Volume的名稱,並且不是VolumeMount的唯一鍵。如果安裝多個相同的volume,多個VolumeMounts將有同樣的 Volume名稱。“mountPath”是獨一無二的,並可以作爲mergekey。
升級前注意事項
1、升級前重要的安全相關改變
必須在kube-apiserver設置–anonymous-auth=false參數,除非你是一個測試該功能的開發者並且瞭解它。如果不這樣,你會允許未經授權的用戶訪問你的apiserver。Linux就該這麼學
必須在聯邦apiserver設置–anonymous-auth=false參數,除非你是一個測試該功能的開發者並且瞭解它。如果不這樣,你會允許未經授權的用戶訪問你的聯邦apiserver。你不需要調整kublete的該參數:1.4的Kubelet APIs沒有授權。
2、batch/v2alpha1.ScheduledJob被重命名爲batch/v2alpha1.CronJob。
3、PetSet被重命名爲StatefulSet。如果你現在有PetSets,你要在升級爲StatefulSets前後進行一些額外的遷移操作。
4、如果你從v1.4.x升級你的集羣聯邦組件,請更新你的federation-apiserver和federation-controller-manager到新版本。
5、廢棄的kubelet –configure-cbr0參數被移除。經典的網絡模式也是。如果你依賴於此模式,請調研其他的網絡插件kubenet或cni是否滿足需求。
6、新的client-go結構,參考kubernetes/client-go進行版本控制策略。
7、廢棄的kube-scheduler –bind-pods-qps和–bind-pods burst參數被移除,替換爲–kube-api-qps和–kube-api-burst。
8、如果你需要使用1.4的特性:PodDisruptionBudget(例如創建了PodDisruptionBudget對象),那麼在從1.4升級爲1.5之前,你一定要刪除所有創建的PodDisruptionBudget對象(policy/v1alpha1/PodDisruptionBudget)。升級之後不可能刪除這些對象。它們的存在也會妨礙你使用1.5裏Beta版的PodDisruptionBudget特性(policy/v1beta1/PodDisruptionBudget)。如果你已經進行了升級,那麼你需要降級到1.4來刪除這policy/v1alpha1/PodDisruptionBudget對象。