Malam ini rilis Kubernetes berikutnya - . Menurut tradisi yang telah berkembang di blog kami, kami berbicara tentang perubahan penting dalam versi baru produk Open Source yang luar biasa ini.
Informasi yang digunakan untuk menyiapkan bahan ini diambil dari , dan masalah terkait, permintaan penarikan, Proposal Peningkatan Kubernetes (KEP).
Mari kita mulai dengan pengenalan penting dari siklus hidup klaster SIG: cluster failover dinamis Kubernetes (atau lebih tepatnya, penerapan HA yang dihosting sendiri) sekarang sudah ada menggunakan perintah yang familiar (dalam konteks cluster node tunggal). kubeadm (init и join). Singkatnya, untuk ini:
- sertifikat yang digunakan oleh cluster ditransfer ke rahasia;
- untuk kemungkinan menggunakan cluster etcd di dalam cluster K8s (yaitu menghilangkan ketergantungan eksternal yang sudah ada sebelumnya) ;
- Mendokumentasikan pengaturan yang direkomendasikan untuk penyeimbang beban eksternal yang menyediakan konfigurasi toleransi kesalahan (di masa depan direncanakan untuk menghilangkan ketergantungan ini, tetapi tidak pada tahap ini).
Arsitektur cluster Kubernetes HA yang dibuat dengan kubeadm
Detail implementasinya dapat dilihat di . Fitur ini benar-benar sudah lama ditunggu-tunggu: versi alfa diharapkan ada di K8s 1.9, tetapi baru muncul sekarang.
API
Tim apply dan secara umum manajemen objek deklaratif dari kubectl di apiserver. Para pengembang sendiri secara singkat menjelaskan keputusan mereka dengan mengatakan bahwa kubectl apply - bagian mendasar dari bekerja dengan konfigurasi di Kubernetes, namun “penuh dengan bug dan sulit diperbaiki,” dan oleh karena itu fungsi ini perlu dikembalikan ke normal dan ditransfer ke bidang kendali. Contoh sederhana dan jelas permasalahan yang ada saat ini:
Detail implementasinya ada di . Kesiapan saat ini adalah alpha (promosi ke beta direncanakan untuk rilis Kubernetes berikutnya).
Tersedia dalam versi alfa menggunakan skema OpenAPI v3 untuk membuat dan menerbitkan dokumentasi OpenAPI untuk CustomResources (CR) digunakan untuk memvalidasi (sisi server) sumber daya yang ditentukan pengguna K8 (CustomResourceDefinition, CRD). Penerbitan OpenAPI untuk CRD memungkinkan klien (mis. kubectl) melakukan validasi di sisi Anda (dalam kubectl create и kubectl apply) dan menerbitkan dokumentasi sesuai skema (kubectl explain). Detail - masuk .
Log yang sudah ada sebelumnya dengan bendera O_APPEND (tapi tidak O_TRUNC) untuk menghindari hilangnya log dalam beberapa situasi dan untuk kenyamanan memotong log dengan utilitas eksternal untuk rotasi.
Juga dalam konteks API Kubernetes, dapat dicatat bahwa di PodSandbox и PodSandboxStatus bidang runtime_handler untuk mencatat informasi tentang RuntimeClass di pod (baca lebih lanjut tentang itu di teks tentang , di mana kelas ini muncul sebagai versi alfa), dan di Webhook Penerimaan kemampuan untuk menentukan versi mana AdmissionReview mereka mendukung. Terakhir, aturan Pendaftaran Webhook sekarang sejauh mana penggunaannya oleh namespace dan kerangka cluster.
Penyimpanan
, yang memiliki status beta sejak dirilis , stable (GA): gerbang fitur ini tidak lagi dinonaktifkan dan akan dihapus di Kubernetes 1.17.
menggunakan variabel lingkungan yang disebut (misalnya, nama pod) untuk nama direktori yang dipasang sebagai , dikembangkan - dalam bentuk bidang baru subPathExpr, yang sekarang digunakan untuk menentukan nama direktori yang diinginkan. Fitur ini awalnya muncul di Kubernetes 1.11, namun untuk versi 1.14 tetap dalam status versi alfa.
Seperti rilis Kubernetes sebelumnya, banyak perubahan signifikan yang diperkenalkan untuk CSI (Container Storage Interface) yang sedang berkembang secara aktif:
CSI
Telah tersedia (sebagai bagian dari versi alfa) mengubah ukuran untuk volume CSI. Untuk menggunakannya, Anda harus mengaktifkan gerbang fitur yang disebut ExpandCSIVolumes, serta adanya dukungan untuk operasi ini di driver CSI tertentu.
Fitur lain untuk CSI dalam versi alpha - merujuk secara langsung (yaitu tanpa menggunakan PV/PVC) ke volume CSI dalam spesifikasi pod. Ini menghilangkan pembatasan penggunaan CSI sebagai penyimpanan data jarak jauh secara eksklusif, membuka pintu dunia bagi mereka . Untuk digunakan () harus diaktifkan CSIInlineVolume gerbang fitur.
Ada juga kemajuan dalam “internal” Kubernetes yang terkait dengan CSI, yang tidak begitu terlihat oleh pengguna akhir (administrator sistem)... Saat ini, pengembang terpaksa mendukung dua versi dari setiap plugin penyimpanan: satu - “di cara lama”, di dalam basis kode K8 (di -pohon), dan yang kedua - sebagai bagian dari CSI baru (baca lebih lanjut tentang itu, misalnya di ). Hal ini menyebabkan ketidaknyamanan yang perlu diatasi seiring dengan stabilnya CSI. Tidak mungkin untuk menghentikan API plugin internal (dalam pohon) begitu saja karena .
Semua ini mengarah pada fakta bahwa versi alfa telah tercapai kode plugin internal, diimplementasikan sebagai in-tree, di plugin CSI, sehingga kekhawatiran pengembang akan berkurang untuk mendukung satu versi plugin mereka, dan kompatibilitas dengan API lama akan tetap ada dan dapat dinyatakan usang dalam skenario biasa. Diharapkan pada rilis Kubernetes berikutnya (1.15) semua plugin penyedia cloud akan dimigrasikan, implementasinya akan menerima status beta dan akan diaktifkan di instalasi K8 secara default. Untuk detailnya, lihat . Migrasi ini juga mengakibatkan dari batas volume yang ditentukan oleh penyedia cloud tertentu (AWS, Azure, GCE, Cinder).
Selain itu, dukungan untuk perangkat blok dengan CSI (CSIBlockVolume) ke versi beta.
Node/Kubelet
Versi alfa disajikan di Kubelet, dirancang untuk mengembalikan metrik pada sumber daya utama. Secara umum, jika sebelumnya Kubelet menerima statistik penggunaan container dari cAdvisor, kini data tersebut berasal dari lingkungan runtime container melalui CRI (Container Runtime Interface), namun kompatibilitas untuk bekerja dengan Docker versi lama juga tetap dipertahankan. Sebelumnya, statistik yang dikumpulkan di Kubelet dikirim melalui REST API, tetapi sekarang titik akhir berada di /metrics/resource/v1alpha1. Strategi jangka panjang pengembang adalah meminimalkan kumpulan metrik yang disediakan oleh Kubelet. Omong-omong, metrik ini sendiri bukan “metrik inti”, tetapi “metrik sumber daya”, dan digambarkan sebagai “sumber daya kelas satu, seperti cpu, dan memori”.
Nuansa yang sangat menarik: meskipun titik akhir gRPC memiliki keunggulan kinerja yang jelas dibandingkan dengan berbagai kasus penggunaan format Prometheus (lihat hasil salah satu benchmark di bawah), penulis lebih menyukai format teks Prometheus karena kepemimpinan yang jelas dari sistem pemantauan ini di komunitas.
“gRPC tidak kompatibel dengan pipeline pemantauan utama. Endpoint hanya akan berguna untuk mengirimkan metrik ke Metrics Server atau memantau komponen yang terintegrasi langsung dengannya. Performa format teks Prometheus saat menggunakan caching di Metrics Server cukup baik bagi kami untuk lebih memilih Prometheus daripada gRPC mengingat luasnya adopsi Prometheus di komunitas. Setelah format OpenMetrics menjadi lebih stabil, kami akan dapat mendekati performa gRPC dengan format berbasis proto."
Salah satu uji performa komparatif penggunaan format gRPC dan Prometheus di titik akhir Kubelet baru untuk metrik. Grafik lebih lanjut dan detail lainnya dapat ditemukan di .
Perubahan lainnya antara lain:
- Kubelet sekarang (satu kali) kontainer dalam keadaan tidak diketahui sebelum memulai kembali dan menghapus operasi.
- Bila menggunakan sekarang ke wadah init informasi yang sama seperti untuk wadah biasa.
- kubelet
usageNanoCoresdari penyedia statistik CRI, dan untuk node dan kontainer di Windows statistik jaringan. - Informasi sistem operasi dan arsitektur kini dicatat dalam label
kubernetes.io/osиkubernetes.io/archObjek node (ditransfer dari beta ke GA). - Kemampuan untuk menentukan grup pengguna sistem tertentu untuk container di dalam pod (
RunAsGroup, muncul di ) sebelum beta (diaktifkan secara default). - du dan temukan digunakan di cAdvisor, implementasi di Go.
CLI
Di cli-runtime dan kubectl -k tandai untuk integrasi dengan (omong-omong, pengembangannya sekarang dilakukan di repositori terpisah), mis. untuk memproses file YAML tambahan dari direktori kustomisasi khusus (untuk detail penggunaannya, lihat ):
Contoh penggunaan file sederhana (aplikasi kustomisasi yang lebih kompleks dimungkinkan di dalamnya )
Selain itu:
- tim baru
kubectl create cronjob, yang namanya berbicara sendiri. - В
kubectl logssekarang kamu bisa bendera-f(--followuntuk log streaming) dan-l(--selectoruntuk permintaan label). - kubectl salin file yang dipilih dengan wild card.
- Untuk tim
kubectl waitbendera--alluntuk memilih semua sumber daya di namespace jenis sumber daya yang ditentukan.
Lainnya
Kemampuan berikut telah menerima status stabil (GA):
- , digunakan dalam spesifikasi pod untuk menentukan kondisi tambahan yang diperhitungkan dalam kesiapan pod;
- Dukungan untuk halaman besar (fitur gerbang disebut );
- ;
- API Kelas Prioritas, .
Perubahan lain yang diperkenalkan di Kubernetes 1.14:
- Kebijakan RBAC default tidak lagi mengizinkan akses API
discoveryиaccess-reviewpengguna tanpa otentikasi (tidak diautentikasi). - Dukungan resmi CoreDNS Khusus Linux, jadi ketika menggunakan kubeadm untuk menyebarkannya (CoreDNS) dalam sebuah cluster, node hanya boleh berjalan di Linux (nodeSelectors digunakan untuk batasan ini).
- Konfigurasi CoreDNS default sekarang bukannya proksi. Juga, di CoreDNS kesiapanProbe, yang mencegah penyeimbangan beban pada pod yang sesuai (belum siap untuk diservis).
- Di kubeadm, secara bertahap
initилиupload-certs, muat sertifikat yang diperlukan untuk menghubungkan bidang kontrol baru ke rahasia kubeadm-certs (gunakan flag--experimental-upload-certs). - Versi alfa telah muncul untuk instalasi Windows gMSA (Akun Layanan Terkelola Grup) - akun khusus di Direktori Aktif yang juga dapat digunakan oleh kontainer.
- Untuk G.C.E. enkripsi mTLS antara etcd dan kube-apiserver.
- Pembaruan pada perangkat lunak yang digunakan/tergantung: Go 1.12.1, CSI 1.1, CoreDNS 1.3.1, dukungan Docker 18.09 di kubeadm, dan versi minimum Docker API yang didukung sekarang adalah 1.26.
PS
Baca juga di blog kami:
- «»;
- «»;
- «»;
- «'.
Sumber: www.habr.com