Kubernetes 1.14: סקירה כללית של החידושים העיקריים

הלילה הזה מתרחש המהדורה הבאה של Kubernetes - 1.14. על פי המסורת שהתפתחה עבור הבלוג שלנו, אנחנו מדברים על השינויים המרכזיים בגרסה החדשה של מוצר הקוד הפתוח הנפלא הזה.

המידע המשמש להכנת חומר זה נלקח מ טבלאות מעקב לשיפורי Kubernetes, CHANGELOG-1.14 ונושאים קשורים, בקשות משיכה, Kubernetes Enhancement Proposals (KEP).

נתחיל עם הקדמה חשובה ממחזור החיים של אשכול SIG: אשכולות כשל דינמיים Kubernetes (או ליתר דיוק, פריסות HA באירוח עצמי) עכשיו אתה יכול ליצור באמצעות פקודות מוכרות (בהקשר של אשכולות צמתים בודדים). kubeadm (init и join). בקיצור, בשביל זה:

• תעודות המשמשות את האשכול מועברות לסודות;
• לאפשרות להשתמש באשכול etcd בתוך אשכול K8s (כלומר היפטרות מהתלות החיצונית הקיימת בעבר) etcd-מפעיל;
• מתעד את ההגדרות המומלצות למאזן עומסים חיצוני המספק תצורה עמידה לתקלות (בעתיד מתוכנן לבטל תלות זו, אך לא בשלב זה).

ארכיטקטורה של אשכול Kubernetes HA שנוצר עם kubeadm

פרטים על היישום ניתן למצוא ב הצעת עיצוב. לתכונה הזו באמת חיכו זמן רב: גרסת האלפא הייתה צפויה לחזור ב-K8s 1.9, אבל הופיעה רק עכשיו.

API

קבוצה apply ובאופן כללי ניהול אובייקט הצהרתי עבר של kubectl ב-apiserver. המפתחים עצמם מסבירים בקצרה את החלטתם בכך kubectl apply - חלק מהותי בעבודה עם תצורות ב- Kubernetes, עם זאת, "הוא מלא באגים וקשה לתקן", ולכן יש להחזיר את הפונקציונליות הזו לקדמותה ולהעביר אותה למישור הבקרה. דוגמאות פשוטות וברורות לבעיות הקיימות היום:

פרטים על היישום נמצאים קפ. המוכנות הנוכחית היא אלפא (הקידום לבטא מתוכנן במהדורה הבאה של Kubernetes).

זמין בגרסת אלפא הזדמנות באמצעות סכימת OpenAPI v3 עבור יצירה ופרסום של תיעוד OpenAPI עבור CustomResources (CR) המשמש לאימות (בצד השרת) של משאבים המוגדרים על ידי המשתמש של K8 (CustomResourceDefinition, CRD). פרסום OpenAPI עבור CRD מאפשר ללקוחות (למשל. kubectl) בצע אימות בצד שלך (בתוך kubectl create и kubectl apply) והנפקת תיעוד בהתאם לתכנית (kubectl explain). פרטים - ב קפ.

יומנים קיימים נפתחים כעת עם דגל O_APPEND (אבל לא O_TRUNC) כדי למנוע אובדן של יומנים במצבים מסוימים ולנוחות של חיתוך יומנים עם כלי עזר חיצוניים לסיבוב.

גם בהקשר של Kubernetes API, ניתן לציין כי ב PodSandbox и PodSandboxStatus הוסיף שדה runtime_handler לרשום מידע על RuntimeClass בתרמיל (קרא עוד על זה בטקסט על מהדורת Kubernetes 1.12, שבו הכיתה הזו הופיעה כגרסת אלפא), וב-Admission Webhooks מוטמע היכולת לקבוע אילו גרסאות AdmissionReview הם תומכים. לבסוף, חוקי ה-Admission Webhooks הם עכשיו יכול להיות מוגבל מידת השימוש בהם על ידי מרחבי שמות ומסגרות אשכולות.

קמרונות

PersistentLocalVolumes, שהיה לו סטטוס בטא מאז השחרור K8s 1.10, הם הודיעו יציב (GA): שער תכונה זה אינו מושבת יותר והוא יוסר ב-Kubernetes 1.17.

הזדמנות באמצעות משתני סביבה הנקראים API כלפי מטה (לדוגמה, שם התרמיל) עבור שמות הספריות המורכבות כ subPath, פותחה - בצורה של תחום חדש subPathExpr, המשמש כעת לקביעת שם הספרייה הרצויה. התכונה הופיעה בתחילה ב-Kubernetes 1.11, אך עבור 1.14 היא נשארה בסטטוס גרסת אלפא.

כמו במהדורה הקודמת של Kubernetes, שינויים משמעותיים רבים מוצגים עבור ה-CSI (ממשק אחסון מיכל) המתפתח באופן פעיל:

CSI

הפך זמין (כחלק מגרסת האלפא) לתמוך שינוי גודל עבור אמצעי אחסון CSI. כדי להשתמש בו תצטרך להפעיל את שער התכונה שנקרא ExpandCSIVolumes, כמו גם נוכחות של תמיכה לפעולה זו במנהל התקן CSI ספציפי.

תכונה נוספת עבור CSI בגרסת האלפא - הזדמנות עיין ישירות (כלומר מבלי להשתמש ב-PV/PVC) לנפחי CSI בתוך מפרט התרמיל. זֶה מסיר את ההגבלה על השימוש ב-CSI כאחסון נתונים מרחוק בלבד, פותחים עבורם דלתות לעולם כרכים ארעיים מקומיים. לשימוש (דוגמה מתוך תיעוד) חייב להיות מופעל CSIInlineVolume שער תכונה.

חלה התקדמות גם ב"פנימיים" של Kubernetes הקשורים ל-CSI, שאינם כל כך גלויים למשתמשי קצה (מנהלי מערכת)... נכון לעכשיו, מפתחים נאלצים לתמוך בשתי גרסאות של כל תוסף אחסון: האחת - "ב- old way", בתוך בסיס הקוד של K8s (ב-tree), והשני - כחלק מה-CSI החדש (קרא עוד על זה, למשל, ב כאן). זה גורם לחוסר נוחות מובן שיש לטפל בהם כאשר ה-CSI עצמו מתייצב. לא ניתן פשוט לבטל את ה-API של תוספים פנימיים (בעץ) עקב המדיניות הרלוונטית של Kubernetes.

כל זה הוביל לכך שגרסת האלפא הגיעה תהליך הגירה קוד תוסף פנימי, מיושם כ-in-tree, בתוספים של CSI, שבזכותם הדאגות של המפתחים יצטמצמו לתמיכה בגרסה אחת של התוספים שלהם, וההתאמה לממשקי API ישנים תישאר וניתן להכריז עליהם מיושנים בתרחיש הרגיל. צפוי שעד המהדורה הבאה של Kubernetes (1.15) כל התוספים של ספקי הענן יועברו, המימוש יקבל סטטוס בטא ויופעל בהתקנות K8s כברירת מחדל. לפרטים, ראה הצעת עיצוב. גם ההגירה הזו הביאה כישלון ממגבלות נפח שהוגדרו על ידי ספקי ענן ספציפיים (AWS, Azure, GCE, Cinder).

בנוסף, תמיכה במכשירי חסימה עם CSI (CSIBlockVolume) הועבר לגרסת בטא.

צמתים/קובלט

מוצגת גרסת אלפא נקודת קצה חדשה ב-Kubelet, מיועד החזר מדדים על משאבי מפתח. באופן כללי, אם בעבר קיבלה Kubelet נתונים סטטיסטיים על שימוש בקונטיינרים מ-cAdvisor, כעת הנתונים הללו מגיעים מסביבת זמן הריצה של קונטיינר דרך CRI (ממשק ריצה של מיכל), אך גם תאימות לעבודה עם גרסאות ישנות יותר של Docker נשמרת. בעבר, נתונים סטטיסטיים שנאספו ב-Kubelet נשלחו דרך REST API, אך כעת נקודת קצה שנמצאת ב /metrics/resource/v1alpha1. אסטרטגיה ארוכת טווח של מפתחים מורכב היא למזער את קבוצת המדדים שסופקה על ידי Kubelet. אגב, המדדים האלה עצמם עכשיו הם מתקשרים לא "מדדי ליבה", אלא "מדדי משאבים", ומתוארים כ"משאבים מהשורה הראשונה, כגון מעבד וזיכרון".

ניואנס מעניין מאוד: למרות יתרון הביצועים הברור של נקודת הקצה gRPC בהשוואה למקרים שונים של שימוש בפורמט Prometheus (ראה את התוצאה של אחד מהאמות מידה למטה), המחברים העדיפו את פורמט הטקסט של פרומתאוס בשל ההנהגה הברורה של מערכת הניטור הזו בקהילה.

"gRPC אינו תואם לצינורות ניטור מרכזיים. נקודת קצה תהיה שימושית רק לאספקת מדדים ל-Metrics Server או לניטור רכיבים המשתלבים ישירות איתו. ביצועי פורמט טקסט של Prometheus בעת שימוש במטמון ב-Metrics Server מספיק טוב כדי שנעדיף את פרומתאוס על פני gRPC לאור האימוץ הנרחב של פרומתאוס בקהילה. ברגע שהפורמט של OpenMetrics יהפוך ליציב יותר, נוכל לגשת לביצועי gRPC עם פורמט מבוסס פרוטו".

אחד ממבחני הביצועים ההשוואתיים של שימוש בפורמטים gRPC ו-Prometheus בנקודת הקצה החדשה של Kubelet למדדים. גרפים נוספים ופרטים נוספים ניתן למצוא ב קפ.

בין יתר השינויים:

• Kubelet עכשיו (פעם אחת) מנסה להפסיק קונטיינרים במצב לא ידוע לפני הפעלה מחדש ומחיקה של פעולות.
• בעת שימוש PodPresets עכשיו למיכל ה-init נוסף אותו מידע כמו עבור מיכל רגיל.
• קובלט התחיל להשתמש usageNanoCores מספק הסטטיסטיקה של CRI, ולגבי צמתים ומכולות ב-Windows הוסיף סטטיסטיקות רשת.
• מידע על מערכת ההפעלה והארכיטקטורה מתועד כעת בתוויות kubernetes.io/os и kubernetes.io/arch אובייקטי צומת (הועברו מבטא ל-GA).
• יכולת לציין קבוצת משתמש ספציפית במערכת עבור מיכלים בפוד (RunAsGroup, הופיע ב K8s 1.11) מִתקַדֵם לפני בטא (מופעל כברירת מחדל).
• du and find בשימוש ב-cAdvisor, הוחלף יישום on Go.

CLI

ב-cli-runtime ו-kubectl הוסיף דגל -k לשילוב עם להסתכל (אגב, הפיתוח שלו מתבצע כעת במאגר נפרד), כלומר. כדי לעבד קבצי YAML נוספים מספריות מיוחדות של kustomization (לפרטים על השימוש בהם, ראה קפ):

דוגמה לשימוש פשוט בקובץ התאמה אישית (יישום מורכב יותר של kustomize אפשרי בתוך שכבות-על)

בנוסף:

• נוסף קבוצה חדשה kubectl create cronjob, ששמו מדבר בעד עצמו.
• В kubectl logs עכשיו אתה יכול לְשַׁלֵב דגלים -f (--follow עבור יומני סטרימינג) ו -l (--selector עבור שאילתת תווית).
• קובקטל לימד העתק קבצים שנבחרו באמצעות תווים כלליים.
• לצוות kubectl wait הוסיף דגל --all כדי לבחור את כל המשאבים במרחב השמות של סוג המשאב שצוין.

אחרים

היכולות הבאות קיבלו סטטוס יציב (GA):

• ReadinessGate, משמש במפרט הפוד להגדרת תנאים נוספים שנלקחו בחשבון במוכנות התרמיל;
• תמיכה בדפים גדולים (שער תכונה נקרא HugePages);
• CustomPodDNS;
• API של PriorityClass עדיפות ותרמיל.

שינויים נוספים שהוצגו ב-Kubernetes 1.14:

• מדיניות ברירת המחדל של RBAC אינה מאפשרת יותר גישה ל-API discovery и access-review משתמשים ללא אימות (לא מאומת).
• תמיכת CoreDNS רשמית מובטח לינוקס בלבד, כך שכאשר משתמשים ב-kubeadm כדי לפרוס אותו (CoreDNS) באשכול, צמתים חייבים לפעול רק על לינוקס (במגבלה זו משתמשים ב-nodeSelectors).
• תצורת ברירת המחדל של CoreDNS היא כעת использует תוסף קדימה במקום פרוקסי. כמו כן, ב-CoreDNS הוסיף readinessProbe, המונע איזון עומסים על פודים מתאימים (לא מוכנים לשירות).
• ב-kubeadm, על שלבים init או upload-certs, הפך לאפשרי טען את האישורים הנדרשים כדי לחבר את מישור הבקרה החדש לסוד kubeadm-certs (השתמש בדגל --experimental-upload-certs).
• גרסת אלפא הופיעה עבור התקנות של Windows תמיכה gMSA (Group Managed Service Account) - חשבונות מיוחדים ב-Active Directory שיכולים לשמש גם קונטיינרים.
• עבור G.C.E. מוּפעָל הצפנת mTLS בין etcd ל-kube-apiserver.
• עדכונים בתוכנה משומשת/תלויה: Go 1.12.1, CSI 1.1, CoreDNS 1.3.1, Docker 18.09 תמיכה ב-kubeadm, וגרסת ה-API של Docker הנתמכת המינימלית היא כעת 1.26.

נ.ב.

קרא גם בבלוג שלנו:

• «Kubernetes 1.13: סקירה כללית של החידושים העיקריים";
• «Kubernetes 1.12: סקירה כללית של החידושים העיקריים";
• «Kubernetes 1.11: סקירה כללית של החידושים העיקריים";
• «Kubernetes 1.10: סקירה כללית של החידושים העיקריים".

מקור: www.habr.com