Kubernetes 1.15:可扩展性和持续改进

作者:1.15发布团队

https://github.com/kubernetes/sig-release/blob/master/releases/release-1.15/release_team.md

我们很高兴地宣布交付Kubernetes 1.15,这是我们2019年的第二个版本!Kubernetes 1.15包含25个增强:2个升级为稳定,13个升级为beta,10个升级为alpha。这次发布的主题是:

  • 持续改进
    • 项目的可持续性不仅仅是功能。许多SIG一直致力于提高测试覆盖率,确保基本功能保持可靠,确保核心功能集的稳定性,并致力于成熟现有功能和清理积压。
  • 可扩展性
    • 社区一直要求继续支持可扩展性,因此这个周期围绕CRD和API Machinery进行更多的工作。这个周期中的大多数增强来自SIG API Machinery和相关领域。

让我们深入了解这个版本的主要特性:

围绕核心Kubernetes API的可扩展性

围绕customresourcedefinition的新开发的主题是数据一致性和原生行为。用户不应该注意交互是与CustomResource还是与Golang-native资源进行的。随着大的步骤,我们在未来的版本之一正在努力向一个GA版本的CRD和GA的准入webhook。

在这个方向上,我们重新考虑了CRD中基于OpenAPI的验证模式,从1.15开始,我们根据“结构模式(structural schema)”的限制检查每个模式。这基本上强制了CustomResource中每个字段的非多态( non-polymorphic)和完整类型(complete typing)。将来我们将需要结构模式,特别是对于所有新特性,包括下面列出的特性,以及列出非结构(NonStructural)条件下的违规行为。在v1beta1 API组中,非结构模式(non-structural schema)仍然保持工作状态。但是任何严肃的CRD应用程序都应该在可预见的将来迁移到结构模式。

关于什么使模式结构化的详细信息将在kubernetes.io的博客文章中在本周晚些时候发布,当然Kubernetes的文档中对此有记录。

https://kubernetes.io/docs/concepts/extend-kubernetes/api-extension/custom-resources/#specifying-a-structural-schema

beta: CustomResourceDefinition Webhook Conversion

customresourcedefinition自1.14起作为beta支持多个版本。使用Kubernetes 1.15,它们能够实时地在不同版本之间进行转换,就像用户长期习惯于从原生资源进行转换一样。CRD的转换是通过webhook实现的,由集群管理员部署在集群内部。这一特性已在Kubernetes 1.15中升级到beta,将CRD提升到一个全新的水平,用于真正的CRD应用程序。

beta: CustomResourceDefinition OpenAPI Publishing

kube-apiserver在/openapi/v2上为原生类型提供OpenAPI规范已经有很长一段时间了,它们被许多组件使用,尤其是kubectl客户端验证、kubectl explain和基于OpenAPI的客户端生成器。

用于CRD的OpenAPI发布将在Kubernetes 1.15作为beta提供,同样只适用于结构模式。

beta: CustomResourceDefinitions Pruning

修剪(Pruning)是自动删除发送到Kubernetes API的对象中的未知字段。如果未在OpenAPI验证模式中指定字段,则该字段是未知的。这是一个数据一致性和安全性相关的特性。它强制只将CRD开发者指定的数据结构持久化到etcd。这是原生资源的行为,也将用于CRD,从Kubernetes 1.15的beta版开始。

修剪是通过CustomResourceDefinition中的spec.preserveUnknownFields: false激活。将来的apiextensions.k8s.io/v1 CRD变种将强制执行修剪(可能但明确必要的选择退出)。

修剪要求CRD开发者为CRD的所有版本提供完整的、结构化的验证模式,要么是顶层的,要么是所有版本的。

alpha: CustomResourceDefinition Defaulting

customresourcedefinition获得默认支持。默认值是使用OpenAPI验证模式中的default关键字指定的。在发送到API的对象中以及从etcd读取时,为未指定字段设置默认值。

default在Kubernetes 1.15中将作为alpha提供,用于结构模式。

beta: Admission Webhook Reinvocation & Improvements

对于扩展Kubernetes API的项目来说,变异(mutating)和验证(validating)准入(admission)webhook变得越来越主流。到目前为止,按照字母顺序,只调用了一次变异webhook。早期运行的webhook不能对链中稍后调用的webhook的输出作出反应。随着Kubernetes 1.15的发布,情况将发生变化:

通过指定reinvocationPolicy: ifNeeded,变异webhook可以选择至少一次重新调用。如果后面的变异webhook修改了对象,那么前面的webhook将得到第二次机会。

这要求webhook具有类似幂等(idempotent)的行为,可以处理第二次调用。

不打算添加另一轮调用,这样webhook的作者仍然必须小心对他们实现的已被承认的对象的更改。最后,调用验证webhook来验证所承诺的不变量是否已实现。

对准入webhook有更多更小的更改,特别是objectSelector,它将具有特定标签的对象排除在准入之外,以及webhook服务器的任意端口(不仅仅是443)。

集群生命周期的稳定性和可用性的改进

使Kubernetes的安装、升级和配置更加健壮是SIG Cluster Lifecycle在这个周期的主要关注点(请参阅我们的社区近况)。跨裸金属工具的Bug修复和生产就绪的用户场景(如高可用性用例)在1.15中获得优先级。

集群生命周期构建块kubeadm继续接收高效引导生产集群所需的特性和稳定性工作。kubeadm将高可用性(high availability,HA)功能提升到了beta,允许用户使用熟悉的kubeadm init和kubeadm join命令来配置和部署HA控制平面。已经专门创建了一个全新的测试套件,以确保这些特性在一段时间内保持稳定。

https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/high-availability/

证书管理在1.15中变得更加健壮,kubeadm现在可以在证书到期之前无缝地旋转所有证书(在升级时)。有关如何管理证书的信息,请参阅kubeadm文档。

https://github.com/kubernetes/website/blob/dev-1.15/content/en/docs/reference/setup-tools/kubeadm/kubeadm-alpha.md

在1.15中,kubeadm配置文件API从v1beta1迁移到v1beta2。

最后,让我们庆祝kubeadm现在有了自己的徽标!

持续改善的CSI

在Kubernetes v1.15中,SIG Storage继续工作,以支持将树内卷插件迁移到CSI(Container Storage Interface,容器存储接口)。SIG Storage致力于使CSI具有与树内功能相同的特性,包括调整大小、内联卷等功能。SIG Storage在CSI中引入了一些新的alpha功能,这些功能在Kubernetes存储子系统中还不存在,比如卷克隆(volume cloning)。

卷克隆允许用户在提供新卷时将另一个PVC指定为“数据源(DataSource)”。如果底层存储系统支持此功能并在其CSI驱动程序中实现“CLONE_VOLUME”功能,则新卷将成为源卷的克隆。

其他值得注意的功能更新

  • 在Kubernetes Core中支持go模块
  • 继续准备云提供商的提取和代码组织。云提供商代码已被转移到kubernetes/legacy-cloud-providers,以便稍后更容易删除和外部使用。
  • Kubectl get和describe现在可以使用扩展
  • 节点现在支持第三方监控插件。
  • 调度插件有一个新的Alpha调度框架
  • ExecutionHook API用于在容器中触发不同用例的hook命令,现在是Alpha。
  • 继续弃用extensions/v1beta1、apps/v1beta1和apps/v1beta2 api;这些扩展将在1.16中退役!

查看发布说明以获得完整的值得注意的特性和修复列表。

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.15.md#kubernetes-v115-release-notes

如何获得

Kubernetes 1.15可以在GitHub上下载。要开始学习Kubernetes,请查看这些交互式教程。你还可以使用kubeadm轻松地安装1.15。

https://kubernetes.io/docs/tutorials/

特性的博客系列

如果你有兴趣更深入地研究这些特性,请查看本周和下周的Kubernetes系列文章,其中我们将重点介绍以下特性的详细演练:

  • CRD的未来:结构模式
  • 介绍用于Kubernetes的卷克隆Alpha
  • Kubeadm自动化高可用性

发布团队

通过数百名提供技术和非技术内容的个人的努力,该版本得以发布。特别感谢Pivotal Software高级技术项目经理Claire Laurence带领的发布团队。发布团队中的38个人协调了发布的许多方面,从文档到测试、验证和特性完整性。

随着Kubernetes社区的发展,我们的发布过程展示了开源软件开发中的协作。Kubernetes继续快速获得新用户。这种增长创造了一个积极的反馈循环,在这个循环中,更多的贡献者提交代码,创建一个更加活跃的生态系统。迄今为止,Kubernetes已有超过3.2万名个人贡献者,活跃的社区有超过6.6万人。

项目的开发速度

CNCF继续改进DevStats,这是一个雄心勃勃的项目,旨在可视化项目中所包含的大量贡献。K8s DevStats演示了来自主要公司贡献者的贡献的分解,以及一组令人印象深刻的预配置报告,其中包括从单个贡献者到拉请求生命周期时间的所有内容。过去一年,平均每月有379家不同的公司和2715多名个人向Kubernetes捐款。查看DevStats了解更多关于Kubernetes项目和社区的总体速度。

https://devstats.k8s.io/

用户案例

全球性组织正在大规模地使用Kubernetes进行生产。最近公布的用户故事包括:

  • 中国联通利用Kubernetes提高其资源利用率20-50%,降低IT基础设施成本,并将部署时间从小时减少到10-15分钟。
  • 蒙特利尔市使用Kubernetes将部署时间从几个月减少到几个小时,并在8台机器上运行200个应用程序组件,其中5人操作Kubernetes集群。
  • SLAMTEC使用Kubernetes和其他CNCF项目,实现18个月以上的100%正常运行时间,节省50%的故障排除和调试时间,并节省30%的CI/CD工作时间。
  • ThredUP使关键服务的部署时间平均减少了约50%,并将部署的准备时间缩短到了20分钟以下。

Kubernetes在帮助你的团队吗?与社区分享你的故事。

生态系统近况

  • Kubernetes最近在KubeCon + CloudNativeCon巴塞罗那庆祝了成立5周年
  • Kubernetes认证管理员(CKA)考试已经成为迄今为止最流行的Linux基金会认证之一,有超过9,000名注册用户和1700多人通过并获得了认证。
  • 在成功举办的2019年的KubeCon + CloudNativeCon欧洲峰会,CNCF宣布拥有400多名成员,年增长率为130%。

KubeCon

世界上最大的Kubernetes聚会,KubeCon + CloudNativeCon将于2019年6月24日至26日在上海(与开源峰会Open Source Summit共同举办)举行,11月18日至21日在圣地亚哥举行。这些会议将包括技术会议、案例研究、开发者深度开发、沙龙等等!今天注册!

网络研讨会

在7月23日上午10点(PDT时区)加入Kubernetes 1.15发布团队的研讨会,了解这个版本的主要特性。在这里注册。

https://zoom.us/webinar/register/8415609575308/WN_AtjsGjz5TRqOsLrEFTWlJQ

如何参与

参与Kubernetes的最简单方法是加入与你的兴趣一致的许多SIG(Special Interest Groups,特殊兴趣小组)之一。你有什么想向Kubernetes社区广播的吗?在我们每周的社区会议上分享你的声音,并通过下面的渠道。感谢你不断的反馈和支持。

  • 关注我们的Twitter @Kubernetesio获取最新消息
  • 加入社区讨论Discuss
  • 在Slack上加入社区
  • 在Stack Overflow上发布问题(或回答问题)
  • 分享你的Kubernetes故事

本文分享自微信公众号 - CNCF(lf_cncf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SpringBoot 核心技术

Api架构奥义:ApiBoot实现零代码整合Spring Security & OAuth2

接口服务的安全性一直是程序员比较注重的一个问题,成熟的安全框架也比较多,其中一个组合就是Spring Security与OAuth2的整合,在ApiBoot内通...

8000
来自专栏贾志刚-OpenCV学堂

tensorflow object detection API使用之GPU训练实现宠物识别

之前写过几篇关于tensorflow object detection API使用的相关文章分享,收到不少关注与鼓励,所以决定再写一篇感谢大家肯定与支持。在具体...

17100
来自专栏FreeBuf

看我如何通过参数污染绕过IDOR

在一次渗透测试过程中,我偶然间发现了一个有趣的IDOR(不安全的直接对象引用)漏洞,通过使用参数污染技术(利用一个被忽略的测试用例),攻击者将能够成功地在目标站...

7700
来自专栏SDNLAB

8年SDN之路的回顾总结

*本文素材来自于盛科网络SDN技术总监——张卫峰发表在紫金山实验室未来网络创新论坛的演讲。

9930
来自专栏喵君手记

浅谈腾讯云·云开发与小程序·云开发的区别

云开发(Tencent Cloud Base,TCB)是腾讯云为移动开发者提供的一站式后端云服务,它帮助开发者统一构建和管理资源,免去了移动应用开发过程中繁琐的...

14400
来自专栏小小挖掘机

基于TensorFlow Serving的深度学习在线预估

随着深度学习在图像、语言、广告点击率预估等各个领域不断发展,很多团队开始探索深度学习技术在业务层面的实践与应用。而在广告CTR预估方面,新模型也是层出不穷:Wi...

5900
来自专栏码匠的流水账

聊聊rocketmq的RECONSUME_LATER

rocketmq-client-4.5.2-sources.jar!/org/apache/rocketmq/client/consumer/listener/...

8100
来自专栏Java建设者

程序员需要了解的硬核知识之操作系统入门

本篇文章作为操作系统的入门文章,可能入门都算不上吧,毕竟操作系统太庞大和复杂了。本篇文章主要带你了解一下我们常用的操作系统环境。

11420
来自专栏玩转JavaEE

前后端分离开发,RESTful 接口如何设计

本文地址:dzone.com/refcardz/rest-foundations-restful

19800
来自专栏可能是东半球最正规的API社区

【附近的人】系列之API安全(一)

我是老李,大家好,众所周知【附近的人】系列有一段时间没有更新了,搞得好像太监了似的,然而并没有...这一系列只是周期不太稳定、不太调而已,原因说来倒也简单:

10430

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励