一、Openshift3.9发布
今天,Openshift3.9正式发布。
Openshfit3.9对应Docker的版本是1.13,对应Kubernetes 1.9。
我们看一下与OCP3.6和3.7进行对比的新功能:
注:下表GA代表正式发布,TP代表技术预览。
接下来,我们对重要的更新功能,做大致的介绍。
二、CRI-O v1.9
在安装Openshift3.9的时候,可以选择启动CRI-O功能(ansible playbook):
openshift_use_crio=true
CRI-O带来的好处有:
最小和安全的体系结构。
出色的规模和性能。
运行任何Open Container Initiative(OCI)或Docker镜像的能力。
熟悉的操作工具和命令。
当然,启用CRI-O,Openshift依然需要安装docker。docker会继续负责build操作以及将build成功的镜像push到docker-registry中。
三、PV 相关
在Openshift3.9中,可以在线扩展PVC的大小,指出的存储有:GlusterFS,、Cinder、GCE PD.
PV Resize的过程:
1.创建存储类:allowVolumeExpansion=true.
2.创建基于allowVolumeExpansion=true存储类的PVC
3.增加PVC的大小
$ oc edit pvc claim-name,然后修改spec.resources.requests.storage
4.底层PV自动增加
此外,Openshift3.9增加了对GlusterFS的监控(在此之前,Metrics监控CPU、内存、网络IO),例如如下指标:
kubelet_volume_stats_capacity_bytes
kubelet_volume_stats_inodes
kubelet_volume_stats_inodes_free
kubelet_volume_stats_inodes_used
kubelet_volume_stats_used_bytes
四、网络
在Openshift3.9中,网络部分发布了Namespace-wide Egress IP功能。
功能是:一个项目中的pod,如果要访问外部(本openshift集群),那么这个项目中的所有pod将会共享一个固定的源IP。这样有利于外部防火墙设置策略。
例如,我们给一个项目增加一个固定的Egress IP:192.168.1.100
oc patch netnamespace MyProject -p '{"egressIPs": ["192.168.1.100"]}'
接下来,将Egress IP绑定到node上:
oc patch hostsubnet node1 -p \ '{"egressIPs": ["192.168.1.100", "192.168.1.101", "192.168.1.102"]}'
做了以上设置以后,一个项目中的pod想对外通讯,将会从指定的node,使用设定的Egress IP,通过NAT方式对完通讯。
五、Master功能的增强
Openshift3.9增加集中审计如下内容:
The event timestamp.
The activity that generated the entry.
The API endpoint that was called.
The HTTP output.
The item changed due to an activity, with details of the change.
The user name of the user that initiated an activity.
The name of the namespace the event occurred in, where possible.
The status of the event, either success or failure.
User login and logout from (including session timeout) the web interface, including
unauthorized access attempts.
Account creation, modification, or removal.
Account role or policy assignment or de-assignment.
Scaling of pods.
Creation of new project or application.
Creation of routes and services.
Triggers of builds and/or pipelines.
Addition or removal or claim of persistent volumes.
审计日志的配置在master配置文件中:
配置以后,日志中将会有类似如下信息:
{"kind":"Event","apiVersion":"audit.k8s.io/v1beta1","metadata":
{"creationTimestamp":"2017-09-
29T09:46:39Z"},"level":"Metadata","timestamp":"2017-09-
29T09:46:39Z","auditID":"72e66a64-c3e5-4201-9a62-
6512a220365e","stage":"ResponseComplete","requestURI":"/api/v1/securitycon
textconstraints","verb":"create","user":
{"username":"system:admin","groups":["system:clusteradmins","
system:authenticated"]},"sourceIPs":["10.8.241.75"],"objectRef":
{"resource":"securitycontextconstraints","name":"scclg","
apiVersion":"/v1"},"responseStatus":{"metadata":{},"code":201}}
六、监控和日志
目前监控和日志的两个新功能还是TP的状态。
日志方面的新功能是:系统和pod的日志可以输出到外部的fluentd。
监控方面的新功能,是Prometheus,目前支持的组件版本有:
prometheus 2.1.0
Alertmanager 0.14.0
AlertBuffer 0.2
node_exporter 0.15.2
七、开发者体验提升
在之前版本的Openshift中,Jenkins的pod使用的内存,很难根据JVM spawn的内存较为合适的分配(过大或过小)。而在Openshift3.9中,通过脚本可以自动进行监控,确保分配内存的合理。
此外,Openshift3.9支持cli的二进制扩展。也就是说,可以编写客户化的oc cli:
$ oc plugin great-plugin -f value
增加openshift_buildoverrides_tolerations参数。
我们知道,默认情况下,开发者可以在project中指定bc,例如配置Git cloning的proxy。
而为了统一管理,Openshift集群管理员可以配置全局的参数,全局参数参数有两种模式:
1.不覆盖项目中的bc配置,单如果项目中的bc没有对此进行配置,则全局配置生效,我们叫这种模式为BuildDefaults,它包含如下参数:
2.覆盖单个项目中的bc配置。我们叫这种模式为:BuildOverrides,它包含的参数有:
而Openshift3.9增加的参数,就是openshift_buildoverrides_tolerations。这些参数可以在安装Openshift的ansible playbook进行设置:
八、Web UI的提升
界面增加catelog菜单,方便查找
在项目中快速查找catelog:
自定义首页:
此外,Openshift3.9允许配置Web UI超时时间(Openshift安装的ansible playbook中配置):
openshift_web_console_inactivity_timeout_minutes=n
Openshift3.9中,web ui可以部署到单独的pod中。
魏新宇
"大魏分享"运营者、红帽资深解决方案架构师
专注开源云计算、容器及自动化运维在金融行业的推广
拥有红帽RHCE/RHCA、VMware VCP-DCV、VCP-DT、VCP-Network、VCP-Cloud、ITIL V3、Cobit5、C-STAR、AIX、HPUX等相关认证。