🥇Kubernetes 1.17: סקירה כללית של החידושים העיקריים

אתמול, 9 בדצמבר, התקיים המהדורה הבאה של Kubernetes - 1.17. על פי המסורת שהתפתחה לבלוג שלנו, אנחנו מדברים על השינויים המשמעותיים ביותר בגרסה החדשה.

המידע המשמש להכנת חומר זה נלקח מההודעה הרשמית, טבלאות מעקב לשיפורי Kubernetes, CHANGELOG-1.17 ובעיות קשורות, בקשות משיכה והצעות Kubernetes Enhancement (KEP). אז מה חדש?..

ניתוב מודע לטופולוגיה

קהילת Kubernetes חיכתה לתכונה זו במשך זמן רב - ניתוב שירות מודע לטופולוגיה. אם קפ מקורו באוקטובר 2018, והרשמית הגברה - לפני שנתיים, הנושאים הרגילים (כמו זה) - ועוד כמה שנים מבוגר יותר...

הרעיון הכללי הוא לספק את היכולת ליישם ניתוב "מקומי" עבור שירותים השוכנים ב-Kubernetes. "מקומי" במקרה זה פירושו "אותה רמה טופולוגית" (רמת טופולוגיה), שיכול להיות:

צומת זהה לשירותים,
אותו מתלה שרת,
אותו אזור
אותו ספק ענן,
...

דוגמאות לשימוש בתכונה זו:

חיסכון בתעבורה בהתקנות ענן עם מספר אזורי זמינות (מולטי-AZ) - ראה. איור טרי שימוש בדוגמה של תעבורה מאותו אזור, אבל AZs שונים ב-AWS;
חביון ביצועים נמוך יותר/תפוקה טובה יותר;
שירות מפוצל בעל מידע מקומי על הצומת בכל רסיס;
מיקום של fluentd (או אנלוגים) באותו צומת עם היישומים שהיומנים שלהם נאספים;
...

ניתוב כזה, ש"יודע" על הטופולוגיה, נקרא גם זיקה לרשת - באנלוגיה ל זיקה לצומת, זיקה לתרמיל/אנטי זיקה או הופיע לא כל כך מזמן תזמון נפח מודע לטופולוגיה (ו אספקת נפח). רמת היישום הנוכחית ServiceTopology ב-Kubernetes - גרסת אלפא.

לפרטים על איך התכונה פועלת וכיצד אתה כבר יכול להשתמש בה, קרא מאמר זה מאחד הכותבים.

תמיכה ב-IPv4/IPv6 כפול מחסנית

התקדמות משמעותית תוקן בתכונת רשת נוספת: תמיכה בו-זמנית בשתי ערימות IP, שהוצגה לראשונה ב K8s 1.16. במיוחד, המהדורה החדשה הביאה את השינויים הבאים:

ב-kube-proxy מוטמע אפשרות לפעולה בו זמנית בשני המצבים (IPv4 ו- IPv6);
в Pod.Status.PodIPs הופיע תמיכה ב-API כלפי מטה (במקביל כמו ב /etc/hosts כעת הם דורשים מהמארח להוסיף כתובת IPv6);
תמיכה בערימה כפולה סוג (Kubernetes IN Docker) ו kubeadm;
בדיקות e2e מעודכנות.

אִיוּר באמצעות ערימה כפולה IPV4/IPv6 ב-KIND

התקדמות ב-CSI

הוכרז יציב תמיכה בטופולוגיה עבור אחסון מבוסס CSI, הוצג לראשונה ב K8s 1.12.

יוזמה עבור הגירה של תוספי נפח ל-CSI - הגירת CSI - הגיע לגרסת בטא. תכונה זו היא קריטית על מנת לתרגם תוספי אחסון קיימים (בתוך העץ) לממשק מודרני (CSI, מחוץ לעץ) בלתי נראה למשתמשי הקצה של Kubernetes. מנהלי אשכולות יצטרכו רק להפעיל את העברת CSI, ולאחר מכן משאבים ועומסי עבודה קיימים ימשיכו "פשוט לעבוד"... אך באמצעות מנהלי ההתקן העדכניים ביותר של CSI במקום המיושנים הכלולים בליבת Kubernetes.

כרגע, ההעברה עבור מנהלי התקנים של AWS EBS מוכנה בגרסת בטא (kubernetes.io/aws-ebs) ו-GCE PD (kubernetes.io/gce-pd). התחזיות עבור מתקני אחסון אחרים הן כדלקמן:

דיברנו על איך תמיכת אחסון "מסורתית" ב-K8s הגיעה ל-CSI מאמר זה. והמעבר של הגירת CSI לסטטוס בטא מוקדש פרסום נפרד בבלוג הפרויקט.

בנוסף, פונקציונליות משמעותית נוספת בהקשר של CSI, שמקורה (יישום אלפא) ב-K1.17s 8, הגיעה למצב בטא (כלומר מופעלת כברירת מחדל) במהדורת Kubernetes 1.12 - יצירת צילומי מצב והחלמה מהם. בין השינויים שבוצעו ב-Kubernetes Volume Snapshot בדרך לשחרור בטא:

פיצול ה-Snapshotter החיצוני של CSI לשני בקרים,
סוד נוסף למחיקה (סוד מחיקה) כהערה לתוכן של תמונת מצב,
מסיים חדש (מגמר) כדי למנוע מחיקת אובייקט ה-API של תמונת מצב אם נותרו חיבורים.

בזמן שחרור 1.17, התכונה נתמכת על ידי שלושה מנהלי התקנים של CSI: מנהל התקן GCE Persistent Disk CSI, מנהל התקן Portworx CSI ו-NetApp Trident CSI Driver. פרטים נוספים על היישום והשימוש בו ניתן למצוא ב פרסום זה בבלוג.

תוויות ספק ענן

מתייג את זה אוטומטית מוקצים לצמתים ואמצעי אחסון שנוצרו בהתאם לספק הענן שבו נעשה שימוש, היו זמינים ב-Kubernetes כגרסת בטא במשך זמן רב מאוד - מאז השקת K8s 1.2 (אפריל 2016!). בהתחשב בשימוש הנרחב שלהם במשך כל כך הרבה זמן, מפתחים решили, שהגיע הזמן להכריז על תכונה יציבה (GA).

לכן, כולם שונו בהתאם (לפי טופולוגיה):

beta.kubernetes.io/instance-type → node.kubernetes.io/instance-type
failure-domain.beta.kubernetes.io/zone → topology.kubernetes.io/zone
failure-domain.beta.kubernetes.io/region → topology.kubernetes.io/region

... אך עדיין זמינים תחת השמות הישנים שלהם (לצורך תאימות לאחור). עם זאת, מומלץ לכל המנהלים לעבור לתוויות הנוכחיות. תיעוד קשור K8s עודכן.

פלט מובנה של kubeadm

מוצג בגרסת אלפא בפעם הראשונה פלט מובנה עבור כלי השירות kubeadm. פורמטים נתמכים: JSON, YAML, תבנית Go.

מוטיבציה ליישום תכונה זו (על פי קפ) הוא:

בעוד שניתן לפרוס Kubernetes באופן ידני, התקן בפועל (אם לא דה יורה) לפעולה זו הוא שימוש ב-kubeadm. כלי ניהול מערכות פופולריים כמו Terraform מסתמכים על kubeadm עבור פריסת Kubernetes. שיפורים מתוכננים ל-Cluster API כוללים חבילה הניתנת לחיבור עבור Kubernetes bootstrapping עם kubeadm ו-cloud-init.

ללא פלט מובנה, אפילו השינויים התמימים ביותר במבט ראשון יכולים לשבור את Terraform, Cluster API ותוכנות אחרות שמשתמשות בתוצאות של kubeadm.

התוכניות המיידיות שלנו כוללות תמיכה (בצורה של פלט מובנה) לפקודות kubeadm הבאות:

alpha certs
config images list
init
token create
token list
upgrade plan
version

איור של תגובת JSON לפקודה kubeadm init -o json:

{
  "node0": "192.168.20.51:443",
  "caCrt": "sha256:1f40ff4bd1b854fb4a5cf5d2f38267a5ce5f89e34d34b0f62bf335d74eef91a3",
  "token": {
    "id":          "5ndzuu.ngie1sxkgielfpb1",
    "ttl":         "23h",
    "expires":     "2019-05-08T18:58:07Z",
    "usages":      [
      "authentication",
      "signing"
    ],
    "description": "The default bootstrap token generated by 'kubeadm init'.",
    "extraGroups": [
      "system:bootstrappers:kubeadm:default-node-token"
    ]
  },
  "raw": "Rm9yIHRoZSBhY3R1YWwgb3V0cHV0IG9mIHRoZSAia3ViZWFkbSBpbml0IiBjb21tYW5kLCBwbGVhc2Ugc2VlIGh0dHBzOi8vZ2lzdC5naXRodWIuY29tL2FrdXR6LzdhNjg2ZGU1N2JmNDMzZjkyZjcxYjZmYjc3ZDRkOWJhI2ZpbGUta3ViZWFkbS1pbml0LW91dHB1dC1sb2c="
}

ייצוב של חידושים אחרים

באופן כללי, השחרור של Kubernetes 1.17 התרחש תחת המוטו "יציבות" זה הוקל על ידי העובדה שתכונות רבות בו (המספר הכולל שלהם הוא 14) קיבל סטטוס GA. ביניהם:

"סימון" צמתים לפי תנאים מסוימים (TaintNodesByCondition), הופיע ב K8s 1.8;
צפה בסימניות - סוג חדש של אירועים שיש להם תווית שכל האובייקטים הם עד גרסה מסוימת (resourceVersion) כבר עובדו על ידי שעון;
ערכי ברירת מחדל (ברירת מחדל) עבור משאבים מותאמים אישית;
משותף בין מכולות מרחבי שמות בתהליך הפוד;
ScheduleDaemonSetPods - תזמון תרמילים ב-DaemonSet באמצעות kube-scheduler (במקום בקר DaemonSet);
גבולות דינמיים על מספר הכרכים בהתאם לסוג הצומת;
תמיכת משתני סביבה עבור שמות ספריות מותקן כ subPath;
העברת פעימות לב של Kubelet לממשק API מיוחד של חכירה;
"הגנה על הגמר" (הגנה על גימר) עבור מאזני עומסים (בדיקת משאבי השירות המתאימים לפני מחיקת משאבי LoadBalancer);
אופטימיזציה של kube-apiserver בביצועים כאשר עובדים עם מספר שעונים הניטור קבוצות זהות של אובייקטים - מושגת על ידי הימנעות מסדרה חוזרת ונשנית של אותם אובייקטים עבור כל צופה.

שינויים אחרים

הרשימה המלאה של החידושים ב-Kubernetes 1.17, כמובן, אינה מוגבלת לאלה המפורטים לעיל. הנה כמה אחרים (ולרשימה מלאה יותר, ראה CHANGELOG):

התכונה שהוצגה במהדורה האחרונה הגיעה לגרסת הבטא RunAsUserName עבור חלונות;
שינוי דומה קרה EndpointSlice API (גם מ-K8s 1.16), אולם לעת עתה פתרון זה לשיפור הביצועים/מדרגיות של ה-Endpoint API אינו מופעל כברירת מחדל;
תרמילים הם כעת קריטיים להפעלת אשכול ניתן ליצור לא רק במרחבי שמות kube-system (לפרטים, עיין בתיעוד עבור הגבל את צריכת מחלקה עדיפות);
אפשרות חדשה עבור kubelet - --reserved-cpus - מאפשר לך להגדיר במפורש את רשימת המעבדים השמורים למערכת;
עבור kubectl logs הציג דגל חדש --prefix, הוספת שם התרמיל ומכל המקור לכל שורה ביומן;
в label.Selector הוסיף RequiresExactMatch;
כל המכולות ב-kube-dns פועלים כעת עם פחות הרשאות;
היפרקובה מופרדים למאגר GitHub נפרד ולא ייכלל עוד במהדורות Kubernetes;
הרבה ביצועים משופרים kube-proxy עבור יציאות שאינן UDP.

שינויים בתלות:

גרסת CoreDNS הכלולה ב-kubeadm היא 1.6.5;
גרסת crictl עודכנה ל-v1.16.1;
CSI 1.2.0;
וכו' 3.4.3;
גרסת Docker שנבדקה האחרונה שודרגה ל-19.03;
גרסת ה-Go המינימלית הנדרשת לבניית Kubernetes 1.17 היא 1.13.4.

נ.ב.

קרא גם בבלוג שלנו:

מקור: www.habr.com

Kubernetes 1.17: סקירה כללית של החידושים העיקריים