Bu gecə Kubernetes-in növbəti buraxılışı - . Bloqumuz üçün formalaşmış ənənəyə uyğun olaraq, biz bu gözəl Açıq Mənbə məhsulunun yeni versiyasındakı əsas dəyişikliklərdən danışırıq.
Bu materialı hazırlamaq üçün istifadə olunan məlumatlar buradan götürülür , və əlaqəli məsələlər, çəkmə sorğuları, Kubernetes Təkmilləşdirmə Təklifləri (KEP).
SIG klaster-həyat dövründən vacib bir girişlə başlayaq: dinamik uğursuz klasterlər Kubernetes (daha dəqiq desək, HA yerləşdirmələri) indidir tanış (tək qovşaqlı klasterlər kontekstində) əmrlərdən istifadə etməklə kubeadm (init и join). Bir sözlə, bunun üçün:
- klasterin istifadə etdiyi sertifikatlar sirrlərə ötürülür;
- K8s klasterində etcd klasterindən istifadə etmək imkanı üçün (yəni əvvəllər mövcud olan xarici asılılıqdan xilas olmaq) ;
- Arızaya dözümlü konfiqurasiyanı təmin edən xarici yük balanslayıcısı üçün tövsiyə olunan parametrləri sənədləşdirir (gələcəkdə bu asılılığın aradan qaldırılması planlaşdırılır, lakin bu mərhələdə deyil).
kubeadm ilə yaradılmış Kubernetes HA klasterinin arxitekturası
İcra təfərrüatları ilə tanış ola bilərsiniz . Bu xüsusiyyət həqiqətən çoxdan gözlənilən idi: alfa versiyası K8s 1.9-da yenidən gözlənilirdi, ancaq indi ortaya çıxdı.
API
Komanda apply və ümumiyyətlə deklarativ obyektin idarə edilməsi haqqında kubectl apiserverdə. Tərtibatçılar özləri qərarlarını qısaca belə izah edirlər kubectl apply - Kubernetes-də konfiqurasiyalarla işləməyin əsas hissəsidir, lakin "bu, səhvlərlə doludur və düzəltmək çətindir" və buna görə də bu funksiyanı normal vəziyyətə gətirmək və idarəetmə müstəvisinə köçürmək lazımdır. Bu gün mövcud olan problemlərin sadə və aydın nümunələri:
İcra ilə bağlı təfərrüatlar var . Hazırkı hazırlıq alfa səviyyəsindədir (beta versiyaya irəliləmə Kubernetesin növbəti buraxılışı üçün planlaşdırılır).
Alfa versiyada hazırlanıb üçün OpenAPI v3 sxemindən istifadə etməklə CustomResources üçün OpenAPI sənədlərinin yaradılması və dərc edilməsi (CR) K8s istifadəçi tərəfindən müəyyən edilmiş resursları (CustomResourceDefinition, CRD) yoxlamaq üçün istifadə olunur (server tərəfi). CRD üçün OpenAPI-nin nəşri müştərilərə imkan verir (məs. kubectl) öz tərəfinizdə doğrulama həyata keçirin (daxili kubectl create и kubectl apply) və sxemə uyğun olaraq sənədləri verin (kubectl explain). Təfərrüatlar - daxil .
Əvvəlki qeydlər bayraqla O_APPEND (lakin yox O_TRUNC) bəzi hallarda logların itirilməsinin qarşısını almaq və fırlanma üçün xarici yardım proqramları ilə logların kəsilməsinin rahatlığı üçün.
Həmçinin Kubernetes API kontekstində qeyd etmək olar ki, in PodSandbox и PodSandboxStatus sahə runtime_handler haqqında məlumatları qeyd etmək RuntimeClass podda (bu barədə ətraflı mətndə oxuyun , bu sinfin alfa versiyası kimi göründüyü yer) və Qəbul Webhooks-da hansı versiyaları müəyyən etmək imkanı AdmissionReview dəstəkləyirlər. Nəhayət, Qəbul Webhooks qaydaları indi ad fəzaları və klaster çərçivələri tərəfindən istifadə dərəcəsi.
Tonozlar
buraxılışdan bəri beta statusu olan , stabil (GA): bu xüsusiyyət qapısı artıq deaktiv edilməyib və Kubernetes 1.17-də silinəcək.
adlı mühit dəyişənlərindən istifadə etməklə (məsələn, pod adı) kimi quraşdırılmış qovluqların adları üçün , işlənmişdir - yeni sahə şəklində subPathExpr, indi istədiyiniz kataloq adını müəyyən etmək üçün istifadə olunur. Xüsusiyyət əvvəlcə Kubernetes 1.11-də ortaya çıxdı, lakin 1.14 üçün alfa versiya statusunda qaldı.
Əvvəlki Kubernetes buraxılışında olduğu kimi, aktiv şəkildə inkişaf edən CSI (Container Storage Interface) üçün bir çox əhəmiyyətli dəyişikliklər təqdim olunur:
CSI
Mövcud oldu (alfa versiyasının bir hissəsi kimi) CSI həcmləri üçün ölçüsünün dəyişdirilməsi. Onu istifadə etmək üçün çağırılan xüsusiyyət qapısını aktivləşdirməlisiniz ExpandCSIVolumes, həmçinin müəyyən bir CSI sürücüsündə bu əməliyyat üçün dəstəyin olması.
Alfa versiyasında CSI üçün başqa bir xüsusiyyət - pod spesifikasiyası daxilində birbaşa (yəni PV/PVC istifadə etmədən) CSI həcmlərinə istinad edin. Bu CSI-nin yalnız uzaqdan məlumat yaddaşı kimi istifadəsinə qoyulan məhdudiyyəti aradan qaldırır, onlar üçün dünyaya qapılar açır . İstifadə üçün () aktivləşdirilməlidir CSIInlineVolume xüsusiyyət qapısı.
Son istifadəçilər (sistem inzibatçıları) üçün o qədər də görünməyən CSI ilə əlaqəli Kubernetes-in "daxili hissələrində" də irəliləyiş var ... Hal-hazırda tərtibatçılar hər saxlama plagininin iki versiyasını dəstəkləməyə məcburdurlar: biri - "daxili" köhnə yol”, K8s kod bazası daxilində (ağacda), ikincisi isə yeni CSI-nin bir hissəsi kimi (bu barədə daha çox oxuyun, məsələn, ). Bu, CSI-nin özü sabitləşdiyi üçün həll edilməli olan başa düşülən narahatlıqlara səbəb olur. Buna görə daxili (ağacdaxili) plaginlərin API-sini sadəcə olaraq ləğv etmək mümkün deyil .
Bütün bunlar alfa versiyasının çatmasına səbəb oldu daxili plagin kodu, ağacdaxili olaraq, CSI plaginlərində tətbiq olunur, bunun sayəsində tərtibatçıların narahatlığı plaginlərinin bir versiyasını dəstəkləməyə azalacaq və köhnə API-lərlə uyğunluq qalacaq və adi ssenaridə köhnəlmiş elan edilə bilər. Gözlənilir ki, Kubernetes-in növbəti buraxılışına (1.15) bütün bulud provayderi plaginləri köçürüləcək, tətbiq beta statusu alacaq və standart olaraq K8s quraşdırmalarında aktivləşdiriləcək. Ətraflı məlumat üçün bax . Bu köç də nəticələndi xüsusi bulud provayderləri (AWS, Azure, GCE, Cinder) tərəfindən müəyyən edilmiş həcm məhdudiyyətlərindən.
Bundan əlavə, CSI ilə blok cihazları üçün dəstək (CSIBlockVolume) beta versiyasına.
Düyünlər/Kubelet
Alfa versiyası təqdim edildi Kubelet üçün nəzərdə tutulmuşdur əsas resurslar üzrə ölçüləri qaytarın. Ümumiyyətlə, əgər əvvəllər Kubelet konteyner istifadəsi ilə bağlı statistikanı cAdvisor-dan alırdısa, indi bu məlumatlar CRI (Container Runtime Interface) vasitəsilə konteyner işləmə mühitindən gəlir, lakin Docker-in köhnə versiyaları ilə işləmək üçün uyğunluq da qorunur. Əvvəllər Kubelet-də toplanmış statistika REST API vasitəsilə göndərilirdi, indi isə son nöqtə /metrics/resource/v1alpha1. Tərtibatçıların uzunmüddətli strategiyası Kubelet tərəfindən təmin edilən ölçülər dəstini minimuma endirməkdir. Yeri gəlmişkən, bu göstəricilər özləridir “əsas ölçülər” deyil, “resurs göstəriciləri” və “prosessor və yaddaş kimi birinci dərəcəli resurslar” kimi təsvir olunur.
Çox maraqlı bir nüans: Prometheus formatından istifadənin müxtəlif halları ilə müqayisədə gRPC son nöqtəsinin aydın performans üstünlüyünə baxmayaraq (aşağıdakı meyarlardan birinin nəticəsinə baxın), müəlliflər cəmiyyətdə bu monitorinq sisteminin aydın rəhbərliyinə görə Prometey mətn formatına üstünlük verdilər.
“gRPC əsas monitorinq boru kəmərləri ilə uyğun gəlmir. Son nöqtə yalnız Metriklər Serverinə ölçüləri çatdırmaq və ya onunla birbaşa inteqrasiya edən monitorinq komponentləri üçün faydalı olacaq. Metrics Serverdə keşləmə istifadə edərkən Prometheus mətn formatının performansı kifayət qədər yaxşı cəmiyyətdə Prometeyin geniş şəkildə mənimsənilməsini nəzərə alaraq, Prometeyi gRPC-dən üstün tutmağımız üçün. OpenMetrics formatı daha stabil olduqdan sonra biz proto-əsaslı formatla gRPC performansına yaxınlaşa biləcəyik.”
Metriklər üçün yeni Kubelet son nöqtəsində gRPC və Prometheus formatlarından istifadənin müqayisəli performans testlərindən biri. Daha çox qrafik və digər təfərrüatları burada tapa bilərsiniz .
Digər dəyişikliklər arasında:
- Kubelet indi (bir dəfə) əməliyyatları yenidən başlatmadan və silmədən əvvəl konteynerləri naməlum vəziyyətdə.
- Istifadə edərkən indi başlanğıc konteynerinə adi konteynerlə eyni məlumat.
- kubelet
usageNanoCoresCRI statistika provayderindən və Windows-da qovşaqlar və konteynerlər üçün şəbəkə statistikası. - Əməliyyat sistemi və arxitektura məlumatları indi etiketlərdə qeyd olunur
kubernetes.io/osиkubernetes.io/archNode obyektləri (beta-dan GA-ya köçürülür). - Poddakı konteynerlər üçün xüsusi sistem istifadəçi qrupunu təyin etmək imkanı (
RunAsGroup,-da meydana çıxdı ) betadan əvvəl (defolt olaraq aktivdir). - du və cAdvisor-da istifadə olunan tapın, on Go tətbiqi.
CLI
Cli-runtime və kubectl-də ilə inteqrasiya üçün -k bayrağı (yeri gəlmişkən, onun inkişafı indi ayrı bir depoda həyata keçirilir), yəni. xüsusi kustomizasiya kataloqlarından əlavə YAML fayllarını emal etmək üçün (onlardan istifadə haqqında ətraflı məlumat üçün bax ):
Sadə fayldan istifadə nümunəsi (daxilində kustomizenin daha mürəkkəb tətbiqi mümkündür )
Bundan əlavə:
- yeni komanda
kubectl create cronjob, adı özü üçün danışır. - В
kubectl logsindi edə bilərsən bayraqlar-f(--followaxın qeydləri üçün) və-l(--selectoretiket sorğusu üçün). - kubectl wild card ilə seçilmiş faylları kopyalayın.
- Komandada
kubectl waitbayraq--allgöstərilən resurs növünün ad məkanında bütün resursları seçmək üçün.
P "SЂSѓRіReRμ
Aşağıdakı imkanlar stabil (GA) statusu alıb:
- , podun hazırlığında nəzərə alınan əlavə şərtləri müəyyən etmək üçün pod spesifikasiyasında istifadə olunur;
- Böyük səhifələr üçün dəstək (xüsusiyyət qapısı çağırılır );
- ;
- PriorityClass API .
Kubernetes 1.14-də təqdim edilən digər dəyişikliklər:
- Defolt RBAC siyasəti artıq API girişinə icazə vermir
discoveryиaccess-reviewautentifikasiyası olmayan istifadəçilər (təsdiqlənməmiş). - Rəsmi CoreDNS dəstəyi Yalnız Linux, buna görə də onu klasterdə yerləşdirmək üçün kubeadm istifadə edərkən (CoreDNS), qovşaqlar yalnız Linux-da işləməlidir (bu məhdudiyyət üçün nodeSelectors istifadə olunur).
- Defolt CoreDNS konfiqurasiyası indidir proxy əvəzinə. Həmçinin, CoreDNS-də uyğun (xidmətə hazır olmayan) podlarda yük balansının qarşısını alan readinessProbe.
- Kubeadm-də, fazalarda
initvə yaupload-certs, yeni idarəetmə təyyarəsini kubeadm-certs sirri ilə birləşdirmək üçün tələb olunan sertifikatları yükləyin (bayraqdan istifadə edin--experimental-upload-certs). - Windows quraşdırmaları üçün alfa versiyası peyda oldu gMSA (Qrup tərəfindən idarə olunan xidmət hesabı) - Active Directory-də konteynerlər tərəfindən də istifadə edilə bilən xüsusi hesablar.
- G.C.E üçün etcd və kube-apiserver arasında mTLS şifrələməsi.
- İstifadə olunan/asılı proqram təminatında yeniləmələr: Go 1.12.1, CSI 1.1, CoreDNS 1.3.1, kubeadm-də Docker 18.09 dəstəyi və minimum dəstəklənən Docker API versiyası indi 1.26-dır.
PS
Bloqumuzda da oxuyun:
- «";
- «";
- «";
- «.
Mənbə: www.habr.com