Kubernetes 1.7:安全加固、有状态应用更新等

今天我们公布了Kubernetes 1.7,这一里程碑版本引入了更为强大的安全性、存储以及扩展性因素,旨在满足Kubernetes在广泛企业环境下所面临的实际需求。

这次发布的版本中安全方面的改进包括加密的Serect,Pod到Pod通讯的网络策略,限制kubelet访问的节点授权器(node authorizer),和客户端/服务端 TLS 证书轮换。

对于在Kubernetes上伸缩数据库的用户,这次版本有一个重要特性向StatefulSet添加了自动化的更新,并增强了对DaemonSet的更新。同时我们宣布对本地存储和用于更快速伸缩StatefulSet的加速模式(burst mode)的alpha支持。

同时,对于高级用户,这次版本中的API聚合允许用户提供的API服务器和Kubernetes API在运行时一起提供服务。其他重点改进的地方包括可伸缩的准入控制器(admission controller),可插拔的云提供者,和容器运行时接口(CRI)。

新特性

安全:

(adsbygoogle = window.adsbygoogle || []).push({});

  • 网络策略 API(Network Policy API)提升至稳定状态。网络策略通过一个网络插件实现,允许用户对管理哪些 Pod 可以彼此通信的规则进行设置和强制。
  • 节点授权器(Node authorizer)和准入控制插件(admission control plugin)是新增用来限制kubelet基于节点对Secret、Pod和其对象的访问。
  • Secret的加密和其他etcd中的资源,现在可用并处于alpha状态。
  • Kubelet TLS 启动现在支持客户端和服务端证书轮换。
  • 由 API 服务器存储的审计日志(Audit log),现在定制化和可扩展性更强,支持事件过滤和 webhook。它们同时为系统审计提供了更丰富的数据。

状态化工作负载:

  • StatefulSet Update 是1.7中一个新的 beta 状态的特性,能允许有状态应用如 Kafka,Zookeeper 和 etcd 的更新自动化。它使用了各种升级策略,包括滚动更新。
  • 对于无顺序要求的应用,通过 Pod 管理策略(Pod Management Policy),StatefulSet 现在支持更快的伸缩和启动。这可以大大提升性能。
  • 本地存储( alpha状态 )是有状态应用一个最常被请求添加的特性。用户现在可以通过标准的PVC/PV接口和StatefulSet中的StorageClass来访问本地存储卷。
  • DaemonSet,每一个节点上创建一个 Pod 已经有了一个更新特性,在1.7中添加了更加机智的回滚和历史回溯能力。
  • 一个新的 StorageOS 卷插件能从本地的和连接的节点存储中提供高可用的、集群范围的持久性卷。

可扩展性:

  • 运行时的 API 聚合是这次发布中最强大的特性,可以让高级用户向集群中添加预先构建的、第三方的或者用户自制的具有Kubernetes风格的API。
  • 容器运行时接口(CRI)通过新的从运行时获取容器指标的 RPC 调用得到增强。CRI 的验证测试已经发布,和containerd 1.0的整合处于 alpha 状态,现在支持基本的 Pod 生命周期和镜像管理。可以阅读我们之前深入介绍 CRI 的文章

其他特性:

  • 引入了对于外部的准入控制器的支持,现在处于 alpha 状态,提供了两种选项来向 API 服务器添加自定义业务逻辑在对象创建的时候进行更改,以及验证策略。
  • 对于联合的集群,引入了基于策略的联合资源放置(Policy-based Federated Resource Placement),处于alpha状态,其基于自定义的要求如规则、定价或者性能。

废弃:

  • 第三方资源(Third Party Resource,TPR)已经被自定义资源定义(Custom Resource Definition,CRD)取代,后者的API更加简洁,并且解决了 TPR beta 测试时出现的问题和边缘场景。鼓励从 TPR 迁移到 CRD,因为Kubernetes 1.9中社区会去掉TRP。

上面就是 Kuberenetes 1.7 关键特性的一部分。完整的列表可以查看发布说明

采用

感谢庞大的开放社区让这次发布成为可能。仅仅在三年时间内就完成了超过5万次提交,这还只是 Kubernetes 主要仓库的数量。 其他对于 Kubernetes 贡献到相关的仓库的扩展,提升了项目整体的稳定性。是速度让 Kubernetes 成为史上发展最快的开源项目之一。

世界的每一个角落都能发现 Kubernetes 的采用案例。从社区收集到的近期案例有:

  • GolfNow,一个 NBC Sports Group 成员,在把应用迁移到 Kubernetes 后,获得了更好的资源利用率,基础设施的开销砍掉一半
  • Bitmovin,一个视频基础设施解决方案提供商,向我们展示了他们在云环境和就地部署环境中如何实施多阶段金丝雀部署
  • Ocado,世界最大的在线超市,使用 Kubernetes 为他们的智能仓库打造分布式数据中心。可以这里查看他们完整的实施方案
  • 是否 Kubernetes 也帮助了你们的团队?欢迎同社区分享你们的故事。同时可以翻阅我们不断增加的用户场景分析,并从伟大的公司如 Box 学习如何在机构中采用 Kubernetes。

获取

Kubernetes 1.7 可以在 Github上下载。要开始上手Kubernetes,可以尝试使用互动式教程

参与

欢迎参加本年12月6号至8号在Austin举办的CloudNativeCon 和 KubeCon,这将是有史以来最大的 Kubernetes 聚会。演讲提案直到8月21日前都是开放的,在10月6日前购票都有折扣

参与最简单的方式是加入符合你兴趣的特别兴趣小组。是否有想同 Kubernetes 社区说的话?快来参加每周一次的社区聚会分享你的想法,或者使用以下渠道:

  • 在 StackOverflow 上发表问题或者回答问题
  • 在 K8sPort 上加入社区门户网站得到支持
  • 关注我们的 Twitter 账号 ( @Kubernetesio)获取最新咨询
  • 在 Slack 上和社区互动
  • 分享你和 Kubernetes 的故事

非常感谢社区广大的贡献者和支持者,感谢你们让这次和所有的发布成为可能。

原文链接:Kubernetes 1.7: Security Hardening, Stateful Application Updates and Extensibility(翻译:钟最龙)【中文转自DockOne.io

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏hotqin888的专栏

工程设计文档服务EngineerCMS

工程设计单位或个人的设计文件分类有其特点,利用engineercms的分类目录可以很好地管理资料。多单位,多人,多工程都可以适应。

12530
来自专栏北京马哥教育

(总结)Nginx/LVS/HAProxy负载均衡软件的优缺点详解

PS:Nginx/LVS/HAProxy是目前使用最广泛的三种负载均衡软件,本人都在多个项目中实施过,参考了一些资料,结合自己的一些使用经验,总结一下。 一般对...

32460
来自专栏腾讯云技术沙龙

小白也能玩转Kubernetes 你与大神只差这几步

6月30日,腾讯云联合InfoQ举办的云+社区技术沙龙,以Kubernetes 上云一键部署、云上大规模计算平台构建、CIS底层技术实现、Tencent Hub...

1.4K170
来自专栏Timhbw博客

小白搭建博客教程之流程

2016-03-1209:03:37 发表评论 431℃热度 搭建个人博客其实说简单也简单,说难也难,当初我一个独自探索,到现在也差不多摸清门路了,因此写一个...

468100
来自专栏CSDN技术头条

分享11款主流的开源编程工具

导读:有了开源编程工具,在基于开源许可证的情况下您可以轻松学习、修改、提高代码的质量,本文收集了11款最主流的且有价值的开源编程工具。或许会给您带来一丝惊喜。一...

26170
来自专栏北京马哥教育

qperf测量网络带宽和延迟

我们在做网络服务器的时候,通常会很关心网络的带宽和延迟。因为我们的很多协议都是request-reponse协议,延迟决定了最大的QPS,而带宽决定了最大...

46660
来自专栏blackpiglet

如何在 Kubernetes 环境中搭建 MySQL (一):简介

  最近因为工作上的需求,搭建了一套部署在 Kubernetes 环境中的 MySQL,可能听起来就是让 MySQL 的 docker image 跑在 Kub...

16650
来自专栏Laoqi's Linux运维专列

Nginx/LVS/HAProxy 负载均衡软件的优缺点详解(转自云栖社区)

18070
来自专栏CSDN技术头条

容器集群支持数据库实践

京东容器数据库系统,管理1800台物理计算节点,生产1W+ 多MySQL Docker容器实例。架构简单可靠,Docker容器计算平台与MySQL集群管理平台解...

35580
来自专栏EAWorld

微服务模式系列之四:客户端服务实现

译者自序: 熟悉我的朋友都知道,我很不喜欢翻译东西,因为在两种语言的思维方式之间做频繁切换对我来说是件很痛苦的事情。但是这次不一样,公司和同事的大力支持降低了我...

274100

扫码关注云+社区

领取腾讯云代金券