Dizze nacht folgjende release fan Kubernetes - . Neffens de tradysje dy't har ûntwikkele hat foar ús blog, prate wy oer de wichtichste feroarings yn 'e nije ferzje fan dit prachtige Open Source-produkt.
Ynformaasje dy't brûkt wurdt om dit materiaal te meitsjen is nommen út , en relatearre problemen, pull fersiken, Kubernetes Enhancement Proposals (KEP).
Litte wy begjinne mei in wichtige yntroduksje fan SIG-kluster-libbenssyklus: dynamyske failover klusters Kubernetes (of om krekter te wêzen, sels-hoste HA-ynset) is no mei help fan bekende (yn 'e kontekst fan single-node klusters) kommando's kubeadm (init и join). Koartsein, foar dit:
- sertifikaten brûkt troch it kluster wurde oerdroegen oan geheimen;
- foar de mooglikheid om it etcd-kluster yn it K8s-kluster te brûken (dat wol sizze, de earder besteande eksterne ôfhinklikens kwytreitsje) ;
- Dokumintearret de oanrikkemandearre ynstellings foar in eksterne load balancer dy't in fouttolerante konfiguraasje leveret (yn 'e takomst is it pland om dizze ôfhinklikens te eliminearjen, mar net op dit poadium).
Arsjitektuer fan in Kubernetes HA-kluster makke mei kubeadm
Details fan 'e ymplemintaasje kinne fûn wurde yn . Dizze funksje wie wirklik lang ferwachte: de alfaferzje waard werom ferwachte yn K8s 1.9, mar ferskynde no pas.
API
team apply en oer it algemien sprutsen declarative foarwerp behear fan kubectl yn apiserver. De ûntwikkelders sels ferklearje har beslút koart troch dat te sizzen kubectl apply - in fûnemintele diel fan it wurkjen mei konfiguraasjes yn Kubernetes, lykwols, "it is fol mei bugs en lestich te reparearjen," en dêrom moat dizze funksjonaliteit werom nei normaal brocht wurde en oerbrocht nei it kontrôlefleanmasine. Ienfâldige en dúdlike foarbylden fan problemen dy't hjoed bestean:
Details oer de útfiering binne yn . Aktuele reewilligens is alfa (promoasje nei beta is pland foar de folgjende Kubernetes-release).
Makke beskikber yn alpha ferzje mei it OpenAPI v3-skema foar it meitsjen en publisearjen fan OpenAPI-dokumintaasje foar CustomResources (CR) brûkt om te falidearjen (server-side) K8s brûker-definiearre middels (CustomResourceDefinition, CRD). Publisearjen fan OpenAPI foar CRD lit kliïnten (bgl. kubectl) fiere falidaasje oan jo kant (binnen kubectl create и kubectl apply) en dokumintaasje útjaan neffens it skema (kubectl explain). Details - yn .
Pre-besteande logs mei flagge O_APPEND (mar net O_TRUNC) om ferlies fan logs yn guon situaasjes te foarkommen en foar it gemak fan trunkearjen fan logs mei eksterne nutsbedriuwen foar rotaasje.
Ek yn 'e kontekst fan' e Kubernetes API, kin opmurken wurde dat yn PodSandbox и PodSandboxStatus fjild runtime_handler om ynformaasje oer op te nimmen RuntimeClass yn de pod (lês der mear oer yn de tekst oer , dêr't dizze klasse ferskynde as in alfa ferzje), en yn Admission Webhooks mooglikheid om te bepalen hokker ferzjes AdmissionReview sy stypje. Uteinlik binne de regels fan Admission Webhooks no de omfang fan har gebrûk troch nammeromten en klusterkaders.
Opslach
, dy't sûnt frijlitting beta-status hie , stabyl (GA): dizze funksje-poarte is net langer útskeakele en sil fuortsmiten wurde yn Kubernetes 1.17.
mei help fan omjouwingsfariabelen neamd (bygelyks de podnamme) foar de nammen fan mappen monteare as , waard ûntwikkele - yn 'e foarm fan in nij fjild subPathExpr, dy't no brûkt wurdt om de winske mapnamme te bepalen. De funksje ferskynde earst yn Kubernetes 1.11, mar foar 1.14 bleau it yn alfa-ferzjestatus.
Lykas by de foarige Kubernetes-útjefte, wurde in protte wichtige feroaringen yntrodusearre foar de aktyf ûntwikkeljende CSI (Container Storage Interface):
CSI
Beskikber wurden (as ûnderdiel fan 'e alfaferzje) grutte feroarje foar CSI-voluminten. Om it te brûken moatte jo de neamde funksje-poarte ynskeakelje ExpandCSIVolumes, en ek de beskikberens fan stipe foar dizze operaasje yn in spesifike CSI-bestjoerder.
In oare funksje foar CSI yn 'e alfa-ferzje - ferwize direkt (d.w.s. sûnder PV / PVC te brûken) nei CSI-voluminten binnen de pod-spesifikaasje. Dit ferwideret de beheining op it brûken fan CSI as eksklusyf dataopslach op ôfstân, iepening doarren nei de wrâld foar harren . Foar gebrûk () moat ynskeakele wurde CSIInlineVolume feature poarte.
D'r is ek foarútgong west yn 'e "ynternen" fan Kubernetes relatearre oan CSI, dy't net sa sichtber binne foar ein brûkers (systeembehearders) ... Op it stuit binne ûntwikkelders twongen om twa ferzjes fan elke opslachplugin te stypjen: ien - "yn de âlde manier”, binnen de K8s codebase (yn -beam), en de twadde - as ûnderdiel fan 'e nije CSI (lês mear deroer, bygelyks yn ). Dit soarget foar begryplike ûngemak dy't moatte wurde oanpakt as CSI sels stabilisearret. It is net mooglik om de API fan ynterne (yn-beam) plugins gewoan ôf te skriuwen fanwegen .
Dit alles late ta it feit dat de alfa ferzje berikt ynterne plugin koade, ymplemintearre as yn-beam, yn CSI-plugins, wêrtroch't de soargen fan ûntwikkelders wurde fermindere om ien ferzje fan har plugins te stypjen, en kompatibiliteit mei âlde API's sil bliuwe en se kinne ferâldere wurde ferklearre yn it gewoane senario. It wurdt ferwachte dat troch de folgjende release fan Kubernetes (1.15) alle plugins fan 'e wolkprovider wurde migrearre, de ymplemintaasje sil beta-status krije en wurde standert aktivearre yn K8s-ynstallaasjes. Foar details, sjoch . Dizze migraasje hat ek resultearre yn út folume grinzen definiearre troch spesifike wolk providers (AWS, Azure, GCE, Cinder).
Derneist, stipe foar blokkearjende apparaten mei CSI (CSIBlockVolume) nei beta ferzje.
Knooppunten / Kubelet
Alpha ferzje presintearre yn Kubelet, ûntwurpen foar werom metriken op wichtige boarnen. Yn 't algemien, as Kubelet earder statistiken krige oer kontenergebrûk fan cAdvisor, no komme dizze gegevens fan' e container-runtime-omjouwing fia CRI (Container Runtime Interface), mar kompatibiliteit foar wurkjen mei âldere ferzjes fan Docker wurdt ek bewarre. Earder waarden statistiken sammele yn Kubelet stjoerd fia de REST API, mar no in einpunt leit by /metrics/resource/v1alpha1. Lange-termyn strategy fan ûntwikkelders is it minimalisearjen fan de set metriken levere troch Kubelet. Trouwens, dizze metriken sels net "kearnmetriken", mar "boarnemetriken", en wurde beskreaun as "earste klasse boarnen, lykas cpu, en ûnthâld".
In heul nijsgjirrige nuânse: nettsjinsteande it dúdlike prestaasjesfoardiel fan it gRPC-einpunt yn ferliking mei ferskate gefallen fan it brûken fan it Prometheus-formaat (sjoch it resultaat fan ien fan 'e benchmarks hjirûnder), De auteurs leaver it tekstformaat fan Prometheus troch de dúdlike lieding fan dit kontrôlesysteem yn 'e mienskip.
"gRPC is net kompatibel mei grutte tafersjochpipelines. Einpunt sil allinich nuttich wêze foar it leverjen fan metriken oan Metrics Server of tafersjoch op komponinten dy't der direkt mei yntegrearje. Prometheus-tekstformaatprestaasjes by it brûken fan caching yn Metrics Server goed genôch foar ús om Prometheus te foarkommen boppe gRPC, sjoen de wiidfersprate oanname fan Prometheus yn 'e mienskip. Sadree't it OpenMetrics-formaat stabiler wurdt, sille wy gRPC-prestaasjes kinne benaderje mei in proto-basearre opmaak."
Ien fan 'e ferlykjende prestaasjestests fan it brûken fan gRPC- en Prometheus-formaten yn it nije Kubelet-einpunt foar metriken. Mear grafiken en oare details kinne fûn wurde yn .
Under oare feroarings:
- Kubelet no (ien kear) konteners yn in ûnbekende steat foardat operaasjes opnij starte en wiskje.
- By it brûken no nei de ynit container deselde ynformaasje as foar in gewoane kontener.
- kubelet
usageNanoCoresfan de CRI statistyk provider, en foar knopen en konteners op Windows netwurk statistyk. - Bestjoeringssysteem en arsjitektuerynformaasje is no opnommen yn labels
kubernetes.io/osиkubernetes.io/archNode-objekten (oerdroegen fan beta nei GA). - Mooglikheid om in spesifike systeem brûkersgroep op te jaan foar konteners yn in pod (
RunAsGroup, ferskynde yn ) foardat beta (standert ynskeakele). - du en fine brûkt yn cAdvisor, op Go ymplemintaasje.
CLI
Yn cli-runtime en kubectl -k flagge foar yntegraasje mei (troch de manier, syn ûntwikkeling wurdt no útfierd yn in aparte repository), d.w.s. om ekstra YAML-bestannen te ferwurkjen fan spesjale kustomisaasje-mappen (sjoch foar details oer it brûken fan dizze ):
Foarbyld fan simpel triemgebrûk (in kompleksere tapassing fan kustomize is binnen mooglik )
Oanfoljend:
- nij team
kubectl create cronjob, waans namme sprekt foar himsels. - В
kubectl logsno kinsto flaggen-f(--followfoar streaming logs) en-l(--selectorfoar labelfraach). - kubectl kopiearje triemmen selektearre troch wylde kaart.
- Oan it team
kubectl waitflagge--allom alle boarnen yn 'e nammeromte fan it oantsjutte boarnetype te selektearjen.
Oare
De folgjende mooglikheden hawwe stabile (GA) status krigen:
- , brûkt yn 'e podspesifikaasje om oanfoljende betingsten te definiearjen dy't rekken holden binne yn' e reewilligens fan 'e pod;
- Stipe foar grutte siden (funksje poarte neamd );
- ;
- PriorityClass API .
Oare wizigingen yntrodusearre yn Kubernetes 1.14:
- Standert RBAC-belied lit gjin API-tagong mear ta
discoveryиaccess-reviewbrûkers sûnder autentikaasje (net authentisearre). - Offisjele CoreDNS-stipe Allinnich Linux, dus by it brûken fan kubeadm om it (CoreDNS) yn in kluster yn te setten, moatte knopen allinich op Linux rinne (nodeSelectors wurde brûkt foar dizze beheining).
- Standert CoreDNS-konfiguraasje is no ynstee fan proxy. Ek yn CoreDNS readinessProbe, dy't foarkomt load balancing op passende (net klear foar tsjinst) pods.
- Yn kubeadm, op fazen
initofupload-certs, lade de sertifikaten nedich om it nije kontrôlefleanmasine te ferbinen mei it kubeadm-certs geheim (brûk de flagge--experimental-upload-certs). - In alfa-ferzje is ferskynd foar Windows-ynstallaasjes gMSA (Group Managed Service Account) - spesjale akkounts yn Active Directory dy't ek kinne wurde brûkt troch konteners.
- Foar G.C.E. mTLS-fersifering tusken etcd en kube-apiserver.
- Updates yn brûkte / ôfhinklike software: Go 1.12.1, CSI 1.1, CoreDNS 1.3.1, Docker 18.09-stipe yn kubeadm, en de minimale stipe Docker API-ferzje is no 1.26.
PS
Lês ek op ús blog:
- «";
- «";
- «";
- «".
Boarne: www.habr.com