Даступны рэліз платформы аркестроўкі кантэйнераў Kubernetes 1.24, якая дазваляе як адзіным цэлым кіраваць кластарам з ізаляваных кантэйнераў і якая прадстаўляе механізмы для разгортвання, суправаджэння і маштабавання выкананых у кантэйнерах прыкладанняў. Праект першапачаткова быў створаны кампаніяй Google, але затым пераведзены на незалежную пляцоўку, якая курыруецца арганізацыяй Linux Foundation. Платформа пазіцыянуецца як універсальнае рашэнне, якое развіваецца супольнасцю, не прывязанае да асобных сістэм і здольнае працаваць з любымі праграмамі ў любых хмарных асяродках. Код Kubernetes напісаны на мове Go і распаўсюджваецца пад ліцэнзіяй Apache 2.0.
Прадстаўляюцца функцыі для разгортвання і кіраванні інфраструктурай, такія як вядзенне базы DNS, балансаванне нагрузкі, размеркаванне кантэйнераў па вузлах кластара (міграцыя кантэйнераў у залежнасці ад змены нагрузкі і запатрабаванняў у сэрвісах), праверка працаздольнасці на ўзроўні прыкладанняў, кіраванне акаўнтамі, абнаўленне і дынамічнае маштабаванне працавальнага кластара, без яго прыпынку. Магчыма разгортванне груп кантэйнераў з выкананнем аперацый абнаўленняў і адмены змен адразу для ўсёй групы, а таксама лагічнае разбіццё кластара на часткі з падзелам рэсурсаў. Маецца падтрымка дынамічнай міграцыі прыкладанняў, для захоўвання дадзеных якіх могуць прымяняцца як лакальныя сховішчы, так і сеткавыя сістэмы захоўвання.
Ключавыя змены ў новым выпуску:
- Стабілізаваны сродкі для адсочвання ёмістасці сховішчы (Storage Capacity Tracking), якія забяспечваюць маніторынг вольнага месца ў раздзелах і перадаюць дадзеныя на кіраўнік вузел для прадухілення запуску pod-ов на вузлах, на якіх недастаткова вольнага месца.
- Стабілізавана магчымасць пашырэння раздзелаў сховішча. Карыстальнік можа змяніць памер ужо існуючых раздзелаў і Kubernetes аўтаматычна без прыпынку працы пашырыць раздзел і звязаную з ім файлавую сістэму.
- Спынена пастаўка runtime Dockershim, які пазіцыянаваўся як часавае рашэнне для выкарыстання Docker у Kubernetes, не сумяшчальнае са штатным інтэрфейсам CRI (container runtime interface) і якое прыводзіць да дадатковага ўскладнення kubelet. Для кіравання ізаляванымі кантэйнерамі варта выкарыстоўваць runtime, які падтрымлівае інтэрфейс CRI, такі як containerd і CRI-O, ці скарыстацца абвязкай cri-dockerd, якая рэалізуе інтэрфейс CRI над API Docker Engine.
- Дадзеная эксперыментальная падтрымка верыфікацыі выяў кантэйнераў па лічбавых подпісах з выкарыстаннем сэрвісу Sigstore, кіроўнага публічны лог для пацверджання сапраўднасці (transparency log). Для прадухілення supply chain нападаў і падмены кампанентаў таксама забяспечана запэўненне лічбавымі подпісамі злучаных з рэлізамі артэфактаў, у тым ліку ўсіх усталёўваных выкананых файлаў Kubernetes.
- Па змаўчанні ў кластарах спынена ўключэнне API, змешчаных у стане бэта-версіі (дададзеныя ў мінулых выпусках тэставыя API захаваныя, змена дакранаецца толькі новых API).
- Рэалізавана тэставая падтрымка фармату OpenAPI v3.
- Прадстаўлена ініцыятыва па перакладзе плагінаў для працы са сховішчамі на уніфікаваны інтэрфейс CSI (Container Storage Interface) з захаваннем сумяшчальнасці на ўзроўні API. На CSI перакладзены плагіны Azure Disk і OpenStack Cinder.
- На стадыю бэта-тэставанні пераведзены Kubelet Credential Provider, які дазваляе дынамічна здабываць уліковыя дадзеныя для рэпазітара выяў кантэйнераў праз запуск убудоў, без захоўвання ўліковых дадзеных у файлавай сістэме вузла.
- Дана магчымасць рэзервавання дыяпазону IP-адрасоў для прызначэння сэрвісам. Пры ўключэнні дадзенай опцыі кластар будзе аўтаматычна прызначаць сэрвісам толькі IP-адрасы з загадзя выдзеленага для кожнага сэрвісу пула, што дазваляе пазбегнуць узнікненні калізій пры выдачы вольных адрасоў з агульнага набору.
Крыніца: opennet.ru