带着多项新功能,Openshift3.9重磅发布!

一、Openshift3.9发布

今天,Openshift3.9正式发布。

Openshfit3.9对应Docker的版本是1.13,对应Kubernetes 1.9。

我们看一下与OCP3.6和3.7进行对比的新功能:

注:下表GA代表正式发布,TP代表技术预览。

接下来,我们对重要的更新功能,做大致的介绍。

二、CRI-O v1.9

在安装Openshift3.9的时候,可以选择启动CRI-O功能(ansible playbook):

openshift_use_crio=true

CRI-O带来的好处有:

最小和安全的体系结构。

出色的规模和性能。

运行任何Open Container Initiative(OCI)或Docker镜像的能力。

熟悉的操作工具和命令。

当然,启用CRI-O,Openshift依然需要安装docker。docker会继续负责build操作以及将build成功的镜像push到docker-registry中。

三、PV 相关

在Openshift3.9中,可以在线扩展PVC的大小,指出的存储有:GlusterFS,、Cinder、GCE PD.

PV Resize的过程:

1.创建存储类:allowVolumeExpansion=true.

2.创建基于allowVolumeExpansion=true存储类的PVC

3.增加PVC的大小

$ oc edit pvc claim-name,然后修改spec.resources.requests.storage

4.底层PV自动增加

此外,Openshift3.9增加了对GlusterFS的监控(在此之前,Metrics监控CPU、内存、网络IO),例如如下指标:

kubelet_volume_stats_capacity_bytes

kubelet_volume_stats_inodes

kubelet_volume_stats_inodes_free

kubelet_volume_stats_inodes_used

kubelet_volume_stats_used_bytes

四、网络

在Openshift3.9中,网络部分发布了Namespace-wide Egress IP功能。

功能是:一个项目中的pod,如果要访问外部(本openshift集群),那么这个项目中的所有pod将会共享一个固定的源IP。这样有利于外部防火墙设置策略。

例如,我们给一个项目增加一个固定的Egress IP:192.168.1.100

oc patch netnamespace MyProject -p '{"egressIPs": ["192.168.1.100"]}'

接下来,将Egress IP绑定到node上:

oc patch hostsubnet node1 -p \ '{"egressIPs": ["192.168.1.100", "192.168.1.101", "192.168.1.102"]}'

做了以上设置以后,一个项目中的pod想对外通讯,将会从指定的node,使用设定的Egress IP,通过NAT方式对完通讯。

五、Master功能的增强

Openshift3.9增加集中审计如下内容:

The event timestamp.

The activity that generated the entry.

The API endpoint that was called.

The HTTP output.

The item changed due to an activity, with details of the change.

The user name of the user that initiated an activity.

The name of the namespace the event occurred in, where possible.

The status of the event, either success or failure.

User login and logout from (including session timeout) the web interface, including

unauthorized access attempts.

Account creation, modification, or removal.

Account role or policy assignment or de-assignment.

Scaling of pods.

Creation of new project or application.

Creation of routes and services.

Triggers of builds and/or pipelines.

Addition or removal or claim of persistent volumes.

审计日志的配置在master配置文件中:

配置以后,日志中将会有类似如下信息:

{"kind":"Event","apiVersion":"audit.k8s.io/v1beta1","metadata":

{"creationTimestamp":"2017-09-

29T09:46:39Z"},"level":"Metadata","timestamp":"2017-09-

29T09:46:39Z","auditID":"72e66a64-c3e5-4201-9a62-

6512a220365e","stage":"ResponseComplete","requestURI":"/api/v1/securitycon

textconstraints","verb":"create","user":

{"username":"system:admin","groups":["system:clusteradmins","

system:authenticated"]},"sourceIPs":["10.8.241.75"],"objectRef":

{"resource":"securitycontextconstraints","name":"scclg","

apiVersion":"/v1"},"responseStatus":{"metadata":{},"code":201}}

六、监控和日志

目前监控和日志的两个新功能还是TP的状态。

日志方面的新功能是:系统和pod的日志可以输出到外部的fluentd。

监控方面的新功能,是Prometheus,目前支持的组件版本有:

prometheus 2.1.0

Alertmanager 0.14.0

AlertBuffer 0.2

node_exporter 0.15.2

七、开发者体验提升

在之前版本的Openshift中,Jenkins的pod使用的内存,很难根据JVM spawn的内存较为合适的分配(过大或过小)。而在Openshift3.9中,通过脚本可以自动进行监控,确保分配内存的合理。

此外,Openshift3.9支持cli的二进制扩展。也就是说,可以编写客户化的oc cli:

$ oc plugin great-plugin -f value

增加openshift_buildoverrides_tolerations参数。

我们知道,默认情况下,开发者可以在project中指定bc,例如配置Git cloning的proxy。

而为了统一管理,Openshift集群管理员可以配置全局的参数,全局参数参数有两种模式:

1.不覆盖项目中的bc配置,单如果项目中的bc没有对此进行配置,则全局配置生效,我们叫这种模式为BuildDefaults,它包含如下参数:

  • openshift_builddefaults_http_proxy
  • openshift_builddefaults_https_proxy
  • openshift_builddefaults_no_proxy
  • openshift_builddefaults_git_http_proxy
  • openshift_builddefaults_git_https_proxy
  • openshift_builddefaults_git_no_proxy
  • openshift_builddefaults_image_labels
  • openshift_builddefaults_nodeselectors
  • openshift_builddefaults_annotations
  • openshift_builddefaults_resources_requests_cpu
  • openshift_builddefaults_resources_requests_memory
  • openshift_builddefaults_resources_limits_cpu
  • openshift_builddefaults_resources_limits_memory

2.覆盖单个项目中的bc配置。我们叫这种模式为:BuildOverrides,它包含的参数有:

  • openshift_buildoverrides_force_pull
  • openshift_buildoverrides_image_labels
  • openshift_buildoverrides_nodeselectors
  • openshift_buildoverrides_annotations
  • openshift_buildoverrides_tolerations

而Openshift3.9增加的参数,就是openshift_buildoverrides_tolerations。这些参数可以在安装Openshift的ansible playbook进行设置:

八、Web UI的提升

界面增加catelog菜单,方便查找

在项目中快速查找catelog:

自定义首页:

此外,Openshift3.9允许配置Web UI超时时间(Openshift安装的ansible playbook中配置):

openshift_web_console_inactivity_timeout_minutes=n

Openshift3.9中,web ui可以部署到单独的pod中。

魏新宇

"大魏分享"运营者、红帽资深解决方案架构师

专注开源云计算、容器及自动化运维在金融行业的推广

拥有红帽RHCE/RHCA、VMware VCP-DCV、VCP-DT、VCP-Network、VCP-Cloud、ITIL V3、Cobit5、C-STAR、AIX、HPUX等相关认证。

原文发布于微信公众号 - 大魏分享(david-share)

原文发表时间:2018-03-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维前线

使用Helm将应用程序部署到IBM Cloud上的Kubernetes上

Helm是Kubernetes的包管理员。借助Helm,我们可以非常方便地将应用程序,工具和数据库(如MongoDB,PostgreSQL,WordPress和...

2055
来自专栏杨建荣的学习笔记

巧用shell脚本生成快捷脚本(r2第12天)

在升级的过程中,可能需要准备一些额外的脚本,比如说做数据迁移的时候为了考虑性能,需要做如下的额外工作: 1.将部分表置为nologging 2.将部分index...

2795
来自专栏Java架构师学习

把项目迁移到Kubernetes上的5个小技巧

我们将在本文中提供5个诀窍帮你将项目迁移到Kubernetes上,这些诀窍来源于过去12个月中OpenFaas社区的经验。下文的内容与Kubernetes 1....

3868
来自专栏微服务那些事儿

Docker 日志清理

https://www.cnblogs.com/fundebug/p/8353158.html

1455
来自专栏树懒先生

无成本给网站服务器加入高可靠的WAF防护

据可靠的新闻网数据显示,阿里巴巴每天被黑客攻击的次数高达三亿多次。跨站攻击、CC攻击、DDOS攻击,甚至还有些站长遭遇了“可怕的”刷流量,作为一个普通的小站长,...

1903
来自专栏企鹅号快讯

Golang 中的微服务-第二部分-Docker和go-micro

简介: Docker 和 go-micro Docker简介 随着云计算的到来和微服务的诞生,服务在部署的时候有更多的压力,但是一次一小段代码就产生了一些有趣的...

3805
来自专栏coder修行路

Docker入门简介

Docker的概念 什么是Docker? Docker是一个开源平台,包含:容器引擎和Docker Hub注册服务器 Docker容器引擎:可以将开发者打包他们...

19610
来自专栏一个会写诗的程序员的博客

十分钟带你理解Kubernetes核心概念

本文将会简单介绍Kubernetes的核心概念。因为这些定义可以在Kubernetes的文档中找到,所以文章也会避免用大段的枯燥的文字介绍。相反,我们会使用一些...

963
来自专栏封碎

Android NFC简介 博客分类: Android android nfc 近场通信

近场通讯 (Near Filed Communication) 技术是一种近距离的高频无线通信技术, 通常距离是4 厘米或更短。 NFC 工作频率是 ...

1142
来自专栏云计算认知升级

【腾讯云的1001种玩法】十分钟轻松搞定云架构 · 负载均衡的几种类型

视频内容 今天,我们来了解一下负载均衡的几种类型,来帮助我们更好的使用腾讯云负载均衡。 [igoes.jpeg] 腾讯云负载均衡从大类上来分,有两个大类,分...

29910

扫码关注云+社区