Kubernetes v1.28 Planternetes 发布,这是 2023 年的第二个版本!

2023年 8月 18日 125.7k 0

作者:Kubernetes v1.28 发布团队[1]
宣布 Kubernetes v1.28 Planternetes 的发布,这是 2023 年的第二个版本!
此版本包含 45 个增强功能。其中,19 个进入 Alpha 阶段,14 个升级为 Beta 阶段,12 个升级为稳定版(Stable)。

发布主题和标志

Kubernetes v1.28: Planternetes

Kubernetes v1.28 的主题是 Planternetes。
-1
每个 Kubernetes 版本的发布都是我们社区成员数千人辛勤工作的结晶。参与此次发布的人员来自各种背景,有些是行业老兵,有些是家长,还有些是学生和开源新手。我们结合自己独特的经验,创造了一个具有全球影响力的集体作品。
就像一个花园一样,我们的发布经历了不断变化的成长、挑战和机遇。这个主题庆祝了为了使发布达到当前的状态而进行的细致关怀、意图和努力。我们和谐地共同成长。

新特性(主要主题)

支持控制平面和节点版本之间的偏差变化

这使得可以通过将核心节点和控制平面组件之间的支持偏差从 n-2 增加到 n-3 来进行测试和扩展,以便最旧支持的次要版本的节点组件(kubelet 和 kube-proxy)能够与最新支持的次要版本的控制平面组件(kube-apiserver、kube-scheduler、kube-controller-manager、cloud-controller-manager)配合使用。
对于最终用户来说,这非常有价值,因为控制平面升级会比节点升级快一些,而运行负载几乎总是需要更长的时间。
Kubernetes 的年度支持期已经使得年度升级成为可能。用户可以升级到最新的补丁版本以获取安全修复,并在每年进行 3 个连续的次要版本升级,以“赶上”最新支持的次要版本。
然而,由于当前节点和控制平面之间的测试/支持偏差仅限于 2 个版本,如果进行 3 个版本的升级,就需要将节点升级两次以保持在支持的偏差范围内。

正式发布:从非优雅节点关机中恢复

如果节点意外关机或进入不可恢复状态(可能是由于硬件故障或无响应的操作系统),Kubernetes 允许你进行后续清理,并允许有状态的工作负载在不同的节点上重新启动。对于 Kubernetes v1.28,这现在是一个稳定的功能。
这使得有状态的工作负载在原来节点关闭或处于不可恢复状态(如硬件故障或损坏的操作系统)后成功切换到其他节点。
早于 v1.20 版本的 Kubernetes 缺乏对 Linux 节点关机的处理,kubelet 与 systemd 集成并实现优雅的节点关机(测试版,并且默认启用)。然而,即使是有意义的关机也可能无法得到很好处理,可能是因为:

  • 节点运行 Windows
  • 节点运行 Linux,但使用不同的 init(非 systemd)
  • 关机未触发系统抑制锁机制
  • 由于节点级配置错误(例如未为 shutdownGracePeriod 和 shutdownGracePeriodCriticalPods 设置适当的值)。

当节点关机或故障,并且 kubelet 未检测到关机时,作为 StatefulSet 的一部分的 Pod 将停留在关闭的节点上处于终止状态。如果已停止的节点重新启动,该节点上的 kubelet 可以完成清理(删除)Kubernetes API 仍然认为绑定到该节点的 Pod。然而,如果节点保持停止状态 - 或者在重启后 kubelet 无法启动 - 那么 Kubernetes 可能无法创建替代的 Pod。当关闭的节点上的 kubelet 不可用以删除旧的 Pod 时,相关的 StatefulSet 无法创建新的 Pod(具有相同的名称)。
与存储相关的问题也存在。如果 Pod 使用了卷,现有的 VolumeAttachment 不会与原来的(现在已关闭的)节点解除关联,因此这些 Pod 使用的 PersistentVolumes 无法连接到其他健康的节点。结果,运行在受影响的 StatefulSet 上的应用程序可能无法正常工作。如果原来已关闭的节点重新启动,那么其 kubelet 将删除这些 Pod,并且可以在其他运行的节点上创建新的 Pod。如果原来节点不重新启动(在不可变基础架构[2]设计中常见),那么这些 Pod 将永远停留在关闭的节点上处于终止状态。
有关如何在非优雅节点关机后触发清理的更多信息,请阅读非优雅节点关机[3]

CustomResourceDefinition 验证规则的改进

CEL[4](Common Expression Language,通用表达式语言)可以用于验证自定义资源[5]。主要目标是允许大多数验证用例,以前可能需要你作为 CustomResourceDefinition(CRD)作者设计和实现 webhook。相反,作为一项测试功能,你可以直接将验证表达式添加到 CRD 的模式中。
CRD 需要直接支持非平凡验证。尽管准入 webhook 支持 CRD 验证,但它们显著增加了 CRD 的开发和可操作性的复杂性。
在 1.28 中,添加了两个可选字段 reason 和 fieldPath,以允许用户在验证失败时指定失败原因和字段路径。
要了解更多信息,请阅读 CRD 文档中的验证规则[6]

ValidatingAdmissionPolicies 升级为 beta

用于准入控制的 CEL 是对验证准入 webhook 的替代方法,可在 Kubernetes API 服务器上进行定制化、内部验证请求。
这建立在 CRD 验证规则功能的基础上,该功能在 1.25 中升级为 beta,但重点放在验证准入场控制的策略执行能力上。
这将降低实施可定制策略的基础设施障碍,并提供有助于社区建立和遵守 K8s 及其扩展的最佳实践的基本功能。
要使用ValidatingAdmissionPolicies[7],你需要在集群的控制平面中启用 admissionregistration.k8s.io/v1beta1 API 组和 ValidatingAdmissionPolicy 功能门。

准入 webhook 的匹配条件

Kubernetes v1.27 允许你为准入 webhook 指定匹配条件,从而可以缩小 Kubernetes 在准入时进行远程 HTTP 调用的范围。ValidatingWebhookConfiguration 和 MutatingWebhookConfiguration 的 matchCondition 字段是一个 CEL 表达式,必须对准入请求进行评估为 true 以将其发送到 webhook。
在 Kubernetes v1.28 中,该字段移至 beta,并且默认启用。
要了解更多信息,请参阅 Kubernetes 文档中的matchConditions[8]

Linux 上启用 swap 空间的测试支持(beta)

这以可控、可预测的方式向节点添加了对 swap 空间的支持,以便 Kubernetes 用户可以进行测试并提供数据,以继续在 swap 空间的基础上构建群集功能。
swap 空间有两种不同类型的用户,它们可能重叠:

  • 节点管理员可能希望 swap 空间可用于节点级性能调优、稳定性和降低噪声问题。
  • 应用程序开发人员编写的应用程序可能受益于使用 swap 内存。

混合版本代理(alpha 版)

当集群具有多个混合版本的 API 服务器(例如在升级/降级期间或运行时配置更改和部署发生时),并非每个 API 服务器都能为每个版本的每个资源提供服务。
在 Kubernetes v1.28,你可以在 API 服务器的聚合层中启用混合版本代理。混合版本代理会查找本地 API 服务器无法识别但控制平面中的另一个 API 服务器能够支持的请求。找到合适的对等体后,聚合层将请求代理到兼容的 API 服务器;对于客户端来说,这是透明的。
当对集群进行升级或降级时,一段时间内控制平面中的 API 服务器可能处于不同的版本;在这种情况下,不同的 API 服务器子集能够提供不同的内置资源集(不同的组、版本和资源都是可能的)。这种新的 alpha 机制允许你将这种差异对客户端隐藏起来。

控制平面组件的源代码重组织

Kubernetes 的贡献者已经开始对 kube-apiserver 的代码进行重新组织,构建一个基于新的暂存库的版本,该版本使用k/apiserver[9],但具有更大且经过精心选择的 kube-apiserver 功能子集,以便可重用。
这是一个渐进的重组织过程;最终将会有一个从 Kubernetes 的 API 服务器中抽象出来的通用功能的新的 git 仓库。

对容器的 CDI 注入的支持(alpha 版)

CDI 提供了一种标准化的方式,将复杂设备注入容器(即逻辑上需要多个/dev 节点才能使其正常工作的设备)。这个新功能允许插件开发者利用在 1.27 版本中添加到 CRI 的 CDIDevices 字段,直接将 CDI 设备传递给支持 CDI 的运行时(如 containerd 和 crio-o 在最近的发布中)。

对边车容器的 API 感知(alpha 版)

Kubernetes 1.28 引入了一个 alpha 版的 restartPolicy 字段,用于指示init 容器[10]同时也是边车容器的情况。它将以所定义的顺序启动具有 restartPolicy: Always 的 init 容器,以及其他 init 容器。与在启动 Pod 的主容器之前等待边车容器完成不同,kubelet 只会等待边车 init 容器启动。
启动完成的条件是启动探针成功(或者如果没有定义启动探针)并且 postStart 处理程序完成。这个条件用 ContainerStatus 类型的 Started 字段表示。有关选择此信号的考虑,请参阅“Pod 启动完成条件”部分。
对于 init 容器,你可以省略 restartPolicy 字段,或者将其设置为 Always。省略该字段意味着你希望一个真正的 init 容器在应用程序启动之前运行到完成。
边车容器不会阻塞 Pod 的完成:如果所有常规容器都完成了,该 Pod 中的边车容器将被终止。
对于边车容器来说,重启行为比 init 容器更复杂。对于 restartPolicy 设置为 Never 的 Pod,如果在 Pod 启动期间边车容器失败,它将不会重新启动,整个 Pod 将被视为失败。如果 Pod 的 restartPolicy 是 Always 或 OnFailure,无法启动的边车容器将重试。
一旦边车容器启动(进程正在运行,postStart 成功,并且任何配置的启动探针通过),然后发生故障,即使 Pod 的整体 restartPolicy 是 Never 或 OnFailure,该边车容器也将重新启动。此外,无论是在 Pod 终止期间还是在正常退出期间,边车容器都将重新启动。
要了解更多信息,请阅读有关边车容器的 API[11]

自动、回溯地分配默认的 StorageClass 升级到稳定版

如果你没有提供 PersistentVolumeClaim(PVC)的 storageClassName 值,Kubernetes 会自动为其设置 storageClassName。控制平面还会为任何没有定义 storageClassName 的现有 PVC 设置 StorageClass。之前的 Kubernetes 版本也具有此行为;对于 Kubernetes v1.28,它是自动的并且始终处于活动状态;该功能已经升级到稳定版(GA)。
要了解更多信息,请阅读 Kubernetes 文档中的StorageClass[12]

作业的 Pod 替换策略(alpha 版)

Kubernetes 1.28 为 Job API 添加了一个新字段,允许你指定控制平面在上一个 Pod 开始终止时立即创建新的 Pod(现有行为),或者只有在现有的 Pod 完全终止后才创建新的 Pod(新的、可选行为)。
许多常见的机器学习框架,如 Tensorflow 和 JAX,需要每个索引一个唯一的 Pod。在旧的行为下,如果属于索引作业的 Pod 进入终止状态(由于抢占、驱逐或其他外部因素),会创建一个替代的 Pod,但由于与尚未关闭的旧 Pod 的冲突,它立即无法启动。
在前一个 Pod 完全终止之前出现替代 Pod,也会在资源稀缺或预算资源紧张的集群中造成问题。这些资源可能很难获得,因此只有在现有的 Pod 被终止后,Pod 可能才能找到节点。如果启用了集群自动缩放器,提前创建替代 Pod 可能会导致不必要的扩容。
要了解更多信息,请阅读作业文档中关于延迟创建替代 Pod[13]的内容。

作业重试的退避限制,按索引分配(alpha 版)

这扩展了 Job API,以支持按索引分配退避限制的索引作业,并且即使其中一些索引失败,作业也可以继续执行。
目前,索引作业的索引共享一个共享的退避限制。当作业达到此共享的退避限制时,作业控制器将标记整个作业为失败,并清理资源,包括尚未完成运行的索引。
因此,现有的实现不能涵盖工作量真正易并行[14]的情况:每个索引完全独立于其他索引。
例如,如果索引作业被用作长时间运行的集成测试套件的基础,那么每个测试运行只能找到单个测试失败。
要了解更多信息,请阅读 Kubernetes 文档中有关处理 Pod 和容器故障[15]的内容。

CRI 容器和 pod 统计数据,不需要 cAdvisor

这涉及到两个相关的工作(kubelet 的/metrics/cadvisor 端点的更改和替代 summary API 的改进)。
消费者用于收集运行容器和 pod 统计数据的主要 API 有两个:summary API 和/metrics/cadvisor。Kubelet 负责实现 summary API,cadvisor 负责满足/metrics/cadvisor 的需求。
这将增强 CRI 实现,使其能够满足 Kubernetes 的所有统计需求。从高层来看,主要有两个方面:

  • 它通过增强 CRI API 的指标来直接从 CRI 补充 summary API 中的 pod 和容器字段。
  • 它增强了 CRI 实现,以广播所需的指标,满足/metrics/cadvisor 端点中的 pod 和容器字段。

Kubernetes v1.28 中的功能升级和弃用

升级为稳定版的功能

此版本中有总共 12 个升级为稳定版的增强功能:

  • kubectl events
  • 追溯默认的 StorageClass 分配
  • 非优雅节点关闭
  • 支持第三方设备监视插件
  • 获取自身用户属性的 Auth API
  • 代理终止端点
  • 扩展 DNS 配置
  • 清理 IPTables 链的所有权
  • 减少 iptables-restore 输入大小
  • 将 kubelet pod 资源端点升级为 GA
  • 扩展 podresources API 以报告可分配资源
  • 将 EndpointSlice Reconciler 移至 Staging

弃用和删除

删除:

  • 删除 GCE PD 的 CSI 迁移

弃用:

  • Ceph RBD in-tree 插件
  • Ceph FS 内 in-tree 插件

发布说明

有关 Kubernetes v1.28 发布的完整详细信息,请参阅我们的发布说明[16]

下载

Kubernetes v1.28 可在GitHub[17]上下载。要开始使用 Kubernetes,你可以使用minikube[18]、kind[19]等本地 Kubernetes 集群运行。你也可以使用kubeadm[20]轻松安装 v1.28。

发布团队

Kubernetes 只有在其社区的支持、承诺和辛勤工作下才得以实现。每个发布团队都由专注的社区志愿者组成,他们共同努力构建组成你所依赖的 Kubernetes 发布的众多组成部分。这需要来自社区各个角落的人们的专业技能,从代码本身到其文档和项目管理。
我们要感谢整个发布团队为确保我们为社区提供一个稳定的 Kubernetes v1.28 版本而付出的辛勤工作。
特别感谢我们的发布负责人 Grace Nguyen,在整个平稳成功的发布周期中为我们提供指导。

生态系统更新

  • KubeCon + CloudNativeCon China 2023 将于 2023 年 9 月 26 日至 28 日在中国上海举行!你可以在活动网站[21]上找到关于会议和注册的更多信息。
  • KubeCon + CloudNativeCon North America 2023 将于 2023 年 11 月 6 日至 9 日在美国伊利诺伊州芝加哥举行!你可以在活动网站[22]上找到关于会议和注册的更多信息。

项目速度

CNCF K8s DevStats[23]项目汇总了与 Kubernetes 和各个子项目的发展速度有关的一些有趣数据。这包括从个人贡献到贡献的公司数量等各个方面的内容,展示了这个生态系统不断发展所需的广泛努力的深度和广度。
在为期 14 周[24](5 月 15 日至 8 月 15 日)的 v1.28 发布周期中,我们看到来自911 家公司[25]和1440 名个人[26]的贡献。

即将举行的网络研讨会

在 2023 年 9 月 14 日星期五上午 10 点(时区:PDT),加入 Kubernetes v1.28 发布团队的成员,了解此版本的主要功能,以及弃用和删除功能,为升级计划提供帮助。有关更多信息和注册,请访问 CNCF Online Programs 网站上的活动页面[27]

参与其中

参与 Kubernetes 最简单的方法,是加入与你的兴趣相吻合的许多特别兴趣小组[28](SIG)之一。
你有什么想要向 Kubernetes 社区广播的事情吗?在我们的每周社区会议[29]和以下渠道上分享你的声音:

  • 在Kubernetes 贡献者网站[30]上了解更多关于为 Kubernetes 做贡献的信息。
  • 在 Twitter 上关注我们的最新动态@Kubernetesio[31]
  • 在Discuss[32]加入社区讨论。
  • 在Slack[33]上加入社区。
  • 在Server Fault[34]上发布问题(或回答问题)。
  • 分享[35]你的 Kubernetes 故事。
  • 在博客[36]上了解更多关于 Kubernetes 的最新动态。
  • 了解更多关于Kubernetes 发布团队[37]的信息。

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论