Kubernetes 1.14: איבערבליק פון די הויפּט ינאָווויישאַנז

די נאַכט וועט נעמען אָרט ווייַטער מעלדונג פון Kubernetes - 1.14. לויט די טראַדיציע וואָס איז דעוועלאָפּעד פֿאַר אונדזער בלאָג, מיר זענען גערעדט וועגן די שליסל ענדערונגען אין די נייַע ווערסיע פון ​​דעם ווונדערלעך עפֿן מקור פּראָדוקט.

אינפֿאָרמאַציע געניצט צו צוגרייטן דעם מאַטעריאַל איז גענומען פון קובערנעטעס ימפּרווומאַנץ טראַקינג טישן, CHANGELOG-1.14 און פֿאַרבונדענע ישוז, ציען ריקוועס, Kubernetes Enhancement Proposals (KEP).

לאָמיר אָנהייבן מיט אַ וויכטיק הקדמה פון SIG קנויל-ליפעסיקלע: דינאַמיש פאַילאָווער קלאַסטערז Kubernetes (אָדער צו זיין מער גענוי, זיך-כאָוסטיד HA דיפּלוימאַנץ) איז איצט קענען זיין באשאפן ניצן באַקאַנטע (אין דעם קאָנטעקסט פון איין-נאָדע קלאַסטערז) קאַמאַנדז kubeadm (init и join). בקיצור, פאר דעם:

• סערטיפיקאַץ געניצט דורך דעם קנויל זענען טראַנספערד צו סיקריץ;
• פֿאַר די מעגלעכקייט צו נוצן די עטק קנויל אין די K8s קנויל (ד"ה באַקומען באַפרייַען פון די פריער יגזיסטינג פונדרויסנדיק דעפּענדענסי) עטק-אָפּעראַטאָר;
• דאָקומענטן די רעקאַמענדיד סעטטינגס פֿאַר אַ פונדרויסנדיק מאַסע באַלאַנסער וואָס גיט אַ שולד-טאָלעראַנט קאַנפיגיעריישאַן (אין דער צוקונפֿט עס איז פּלאַננעד צו עלימינירן דעם דעפּענדענסי, אָבער נישט אין דעם בינע).

אַרקאַטעקטשער פון אַ Kubernetes HA קנויל באשאפן מיט kubeadm

דעטאַילס פון די ימפּלאַמענטיישאַן קענען זיין געפֿונען אין פּלאַן פאָרשלאָג. דער שטריך איז געווען באמת לאַנג-אַווייטאַד: די אַלף ווערסיע איז געווען דערוואַרט צוריק אין K8s 1.9, אָבער בלויז ארויס איצט.

אַפּי

קאָלעקטיוו apply און בכלל גערעדט דעקלאַראַטיווע כייפעץ פאַרוואַלטונג דורכגעגאנגען פון kubectl אין אַפּיסערווער. די דעוועלאָפּערס זיך בעקיצער דערקלערן זייער באַשלוס דורך זאָגן אַז kubectl apply - אַ פונדאַמענטאַל טייל פון ארבעטן מיט קאַנפיגיעריישאַנז אין Kubernetes, אָבער, "עס איז פול פון באַגז און שווער צו פאַרריכטן," און דעריבער די פאַנגקשאַנאַליטי דאַרף זיין צוריק צו נאָרמאַל און טראַנספערד צו די קאָנטראָל פלאַך. פּשוט און קלאָר ביישפילן פון פּראָבלעמס וואָס עקסיסטירן הייַנט:

דעטאַילס וועגן די ימפּלאַמענטיישאַן זענען אין קעפּ. די איצטיקע גרייטקייט איז אַלף (דער העכערונג צו ביתא איז פּלאַננעד פֿאַר דער ווייַטער מעלדונג פון Kubernetes).

בנימצא אין אַלף ווערסיע געלעגנהייַט ניצן די OpenAPI v3 סכעמע פֿאַר קריייטינג און ארויסגעבן OpenAPI דאַקיומענטיישאַן פֿאַר CustomResources (CR) געניצט צו וואַלאַדייט (סערווער-זייַט) ק8ס באַניצער-דיפיינד רעסורסן (CustomResourceDefinition, CRD). ארויסגעבן OpenAPI פֿאַר CRD אַלאַוז קלייאַנץ (למשל. kubectl) דורכפירן וואַלאַדיישאַן אויף דיין זייַט (ין kubectl create и kubectl apply) און אַרויסגעבן דאַקיומענטיישאַן לויט די סכעמע (kubectl explain). דעטאַילס - אין קעפּ.

פאַר-יגזיסטינג לאָגס זענען איצט עפן מיט פאָן O_APPEND (אָבער נישט O_TRUNC) צו ויסמיידן אָנווער פון לאָגס אין עטלעכע סיטואַטיאָנס און פֿאַר די קאַנוויניאַנס פון טראַנגקייטינג לאָגס מיט פונדרויסנדיק יוטילאַטיז פֿאַר ראָוטיישאַן.

אויך אין דעם קאָנטעקסט פון די Kubernetes API, עס קענען זיין אנגעוויזן אַז אין PodSandbox и PodSandboxStatus צוגעגעבן פעלד runtime_handler צו רעקאָרדירן אינפֿאָרמאַציע וועגן RuntimeClass אין די פּאָד (לייענען מער וועגן אים אין דעם טעקסט וועגן Kubernetes 1.12 מעלדונג, ווו דעם קלאַס איז ארויס ווי אַן אַלף ווערסיע), און אין אַרייַנטרעטן וועבהאָאָקס ימפּלאַמענאַד פיייקייט צו באַשליסן וואָס ווערסיעס AdmissionReview זיי שטיצן. צום סוף, די אַרייַנטרעטן וועבהאָאָקס כּללים זענען איצט קענען זיין באגרענעצט די מאָס פון זייער נוצן דורך נאָמען ספּייסאַז און קנויל פראַמעוואָרקס.

סטאָרידזש

PersistentLocalVolumes, וואָס האט ביתא סטאַטוס זינט מעלדונג K8s 1.10, מודיע סטאַביל (GA): דעם שטריך טויער איז ניט מער פאַרקריפּלט און וועט זיין אַוועקגענומען אין Kubernetes 1.17.

געלעגנהייט ניצן סוויווע וועריאַבאַלז גערופן אַראָפּ אַפּי (למשל, די פּאָד נאָמען) פֿאַר די נעמען פון דירעקטעריז מאָונטעד ווי subPath, איז דעוועלאָפּעד - אין די פאָרעם פון אַ נייַ פעלד subPathExpr, וואָס איז איצט געניצט צו באַשטימען דעם געוואלט וועגווייַזער נאָמען. דער שטריך טכילעס ארויס אין Kubernetes 1.11, אָבער פֿאַר 1.14 עס איז פארבליבן אין אַלף ווערסיע סטאַטוס.

ווי מיט די פריערדיקע Kubernetes מעלדונג, פילע באַטייַטיק ענדערונגען זענען באַקענענ פֿאַר די אַקטיוולי דעוועלאָפּינג CSI (Container Storage Interface):

קסי

געווארן בנימצא (ווי אַ טייל פון די אַלף ווערסיע) שטיצן רעסיזינג פֿאַר CSI וואַליומז. צו נוצן עס, איר דאַרפֿן צו געבן דעם שטריך טויער גערופן ExpandCSIVolumes, ווי געזונט ווי די בייַזייַן פון שטיצן פֿאַר דעם אָפּעראַציע אין אַ ספּעציפיש CSI שאָפער.

אן אנדער שטריך פֿאַר CSI אין די אַלף ווערסיע - געלעגנהייַט אָפּשיקן גלייך (ד"ה אָן ניצן PV/PVC) צו CSI וואַליומז אין די פּאָד באַשרייַבונג. דאס רימוווז די ריסטריקשאַן אויף די נוצן פון CSI ווי ויסשליסיק ווייַט דאַטן סטאָרידזש, עפנט פאר זיי טירן צו דער וועלט היגע עפעמעראַל וואַליומז. פֿאַר נוצן (בייַשפּיל פון דאַקיומענטיישאַן) מוזן זיין ענייבאַלד CSIInlineVolume שטריך טויער.

עס איז אויך געווען פּראָגרעס אין די "ינערלעך" פון Kubernetes שייַכות צו CSI, וואָס זענען נישט אַזוי קענטיק צו סוף ניצערס (סיסטעם אַדמיניסטראַטאָרס) ... דערווייַל, דעוועלאָפּערס זענען געצווונגען צו שטיצן צוויי ווערסיעס פון יעדער סטאָרידזש פּלוגין: איינער - "אין די אַלט וועג", ין די K8s קאָדעבאַסע (אין -בוים), און די רגע - ווי אַ טייל פון די נייַע CSI (לייענען מער וועגן אים, למשל, אין דאָ). דאָס זייַנען פאַרשטיייק ינקאַנוויניאַנסיז וואָס דאַרפֿן צו זיין אַדרעסד ווי CSI זיך סטייבאַלייזיז. עס איז ניט מעגלעך צו פשוט דיפּרישיייט די API פון ינערלעך (אין-בוים) פּלוגינס רעכט צו באַטייַטיק Kubernetes פּאָליטיק.

אַלע דעם געפירט צו די פאַקט אַז די אַלף ווערסיע ריטשט מייגריישאַן פּראָצעס ינערלעך פּלוגין קאָד, ימפּלאַמענאַד ווי אין-בוים, אין CSI פּלוגינס, דאַנק צו וואָס די וועריז פון דעוועלאָפּערס וועט זיין רידוסט צו שטיצן איין ווערסיע פון ​​זייער פּלוגינס, און קאַמפּאַטאַבילאַטי מיט אַלט אַפּיס וועט בלייַבן און זיי קענען זיין דערקלערט פאַרעלטערט אין די געוויינטלעך סצענאַר. עס איז דערוואַרט אַז ביי דער ווייַטער מעלדונג פון Kubernetes (1.15) אַלע וואָלקן שפּייַזער פּלוגינס וועט זיין מייגרייטיד, די ימפּלאַמענטיישאַן וועט באַקומען ביתא סטאַטוס און וועט זיין אַקטיווייטיד אין K8s ינסטאַליישאַנז דורך פעליקייַט. פֿאַר פרטים, זען פּלאַן פאָרשלאָג. די דאָזיקע מיגראַציע האָט אויך געפֿירט דורכפאַל פֿון באַנד לימאַץ דיפיינד דורך ספּעציפיש וואָלקן פּראַוויידערז (AWS, Azure, GCE, Cinder).

אַדדיטיאָנאַללי, שטיצן פֿאַר בלאָק דעוויסעס מיט CSI (CSIBlockVolume) טראַנספערד צו ביתא ווערסיע.

נאָדעס / קובעלעט

אַלף ווערסיע דערלאנגט נייַ ענדפּוינט אין קובעלעט, דיזיינד פֿאַר צוריקקומען מעטריקס אויף שליסל רעסורסן. אין אַלגעמיין, אויב קובעלעט ביז אַהער באקומען סטאַטיסטיק אויף קאַנטיינער באַניץ פֿון cAdvisor, איצט די דאַטן קומען פֿון די קאַנטיינער רונטימע סוויווע דורך CRI (Container Runtime Interface), אָבער קאַמפּאַטאַבילאַטי פֿאַר ארבעטן מיט עלטערע ווערסיעס פון דאָקקער איז אויך אפגעהיט. ביז אַהער, סטאַטיסטיק געזאמלט אין Kubelet זענען געשיקט דורך די REST API, אָבער איצט אַן ענדפּוינט אין /metrics/resource/v1alpha1. לאנג-טערמין סטראַטעגיע פון ​​דעוועלאָפּערס באשטייט איז צו מינאַמייז די גאַנג פון מעטריקס צוגעשטעלט דורך Kubelet. דורך דעם וועג, די מעטריקס זיך איצט רופן זיי ניט "האַרץ מעטריקס", אָבער "ריסאָרס מעטריקס", און זענען דיסקרייבד ווי "ערשטער-קלאַס רעסורסן, אַזאַ ווי קפּו און זכּרון".

א זייער טשיקאַווע נואַנס: טראָץ די קלאָר פאָרשטעלונג מייַלע פון ​​די גרפּק ענדפּוינט אין פאַרגלייַך מיט פאַרשידן קאַסעס פון ניצן די פּראָמעטהעוס פֿאָרמאַט (זען דער רעזולטאַט פון איינער פון די בענטשמאַרקס אונטן), די מחברים בילכער די טעקסט פֿאָרמאַט פון פּראָמעטהעוס רעכט צו דער קלאָר פירערשאַפט פון דעם מאָניטאָרינג סיסטעם אין די קהל.

"gRPC איז נישט קאַמפּאַטאַבאַל מיט הויפּט מאָניטאָרינג פּייפּליינז. ענדפּוינט וועט נאָר זיין נוציק פֿאַר דיליווערינג מעטריקס צו מעטריקס סערווירער אָדער מאָניטאָרינג קאַמפּאָונאַנץ וואָס ויסשטימען גלייך מיט אים. פּראָמעטהעוס טעקסט פֿאָרמאַט פאָרשטעלונג ווען איר נוצן קאַטשינג אין מעטריקס סערווירער גענוג גוט פֿאַר אונדז צו בעסער וועלן Prometheus איבער gRPC ווייַל פון די וויידספּרעד אַדאַפּשאַן פון Prometheus אין די קהל. אַמאָל די OpenMetrics פֿאָרמאַט ווערט מער סטאַביל, מיר קענען צוגאַנג gRPC פאָרשטעלונג מיט אַ פּראָטאָ-באזירט פֿאָרמאַט.

איינער פון די קאָמפּאַראַטיווע פאָרשטעלונג טעסץ פון ניצן gRPC און Prometheus פֿאָרמאַטירונגען אין די נייַע Kubelet ענדפּוינט פֿאַר מעטריקס. מער גראַפס און אנדערע דעטאַילס קענען זיין געפֿונען אין קעפּ.

צווישן אנדערע ענדערונגען:

• קובעלעט איצט (איין מאָל) טריינג צו האַלטן קאַנטיינערז אין אַן אומבאַקאַנט שטאַט איידער ריסטאַרט און ויסמעקן אַפּעריישאַנז.
• ווען ניצן PodPresets איצט צו די יניט קאַנטיינער איז צוגעגעבן די זעלבע אינפֿאָרמאַציע ווי פֿאַר אַ רעגולער קאַנטיינער.
• קובעלעט אנגעהויבן ניצן usageNanoCores פֿון די CRI סטאַטיסטיק שפּייַזער, און פֿאַר נאָודז און קאַנטיינערז אויף Windows צוגעגעבן נעץ סטאַטיסטיק.
• אַפּערייטינג סיסטעם און אַרקאַטעקטשער אינפֿאָרמאַציע איז איצט רעקאָרדעד אין לאַבעלס kubernetes.io/os и kubernetes.io/arch נאָדע אַבדזשעקץ (טראַנספערד פון ביתא צו GA).
• פיייקייט צו ספּעציפיצירן אַ ספּעציפיש סיסטעם באַניצער גרופּע פֿאַר קאַנטיינערז אין אַ פּאָד (RunAsGroup, באוויזן אין K8s 1.11) אַוואַנסירטע איידער ביתא (ענייבאַלד דורך פעליקייַט).
• דו און געפֿינען געניצט אין cAdvisor, ריפּלייסט אויף גיין ימפּלאַמענטיישאַן.

קלי

אין קלי-רונטימע און קובעקטל צוגעגעבן -ק פאָן פֿאַר ינטאַגריישאַן מיט קאַסטאַמייז (אגב, איר אַנטוויקלונג איז איצט דורכגעקאָכט אין אַ באַזונדער ריפּאַזאַטאָרי), ד.ה. צו פּראָצעס נאָך YAML טעקעס פֿון ספּעציעל קוסטאָמיזאַטיאָן דירעקטעריז (פֿאַר דעטאַילס וועגן ניצן זיי, זען קעפּ):

בייַשפּיל פון פּשוט טעקע באַניץ קוסטאָמיזאַטיאָן (אַ מער קאָמפּליצירט אַפּלאַקיישאַן פון קוסטאָמיזע איז מעגלעך ין overlays)

אין דערצו:

• צוגעגעבן נייַ מאַנשאַפֿט kubectl create cronjob, װעמענ ס נאמע ן רעדט .
• В kubectl logs איצט איר קענען צו פאַרבינדן פלאַגס -f (--follow פֿאַר סטרימינג לאָגס) און -l (--selector פֿאַר פירמע אָנפֿרעג).
• kubectl געלערנט קאָפּיע טעקעס אויסגעקליבן דורך ווילד קאָרט.
• צו די מאַנשאַפֿט kubectl wait צוגעגעבן flag --all צו אויסקלייַבן אַלע רעסורסן אין די נאָמען פון די ספּעסיפיעד מיטל טיפּ.

אנדערע

די פאלגענדע קייפּאַבילאַטיז האָבן באקומען סטאַביל (GA) סטאַטוס:

• ReadinessGate, געניצט אין די פּאָד באַשרייַבונג צו דעפינירן נאָך טנאָים גענומען אין חשבון אין די גרייטקייַט פון די פּאָד;
• שטיצן פֿאַר גרויס בלעטער (פונקציע טויער גערופן HugePages);
• CustomPodDNS;
• PriorityClass API פּאָד בילכערקייַט און פּריעמפּשאַן.

אנדערע ענדערונגען באַקענענ אין Kubernetes 1.14:

• פעליקייַט RBAC פּאָליטיק ניט מער אַלאַוז אַפּי אַקסעס discovery и access-review ניצערס אָן אָטענטאַקיישאַן (אויטענטיקירט).
• אַפישאַל קאָרעדנס שטיצן צוגעשטעלט בלויז לינוקס, אַזוי ווען ניצן kubeadm צו צעוויקלען עס (CoreDNS) אין אַ קנויל, נאָודז מוזן לויפן בלויז אויף לינוקס (נאָדעסעלעקטאָרס זענען געניצט פֿאַר דעם באַגרענעצונג).
• פעליקייַט CoreDNS קאַנפיגיעריישאַן איז איצט ניצט פאָרויס פּלוגין אַנשטאָט פון פראקסי. אויך אין CoreDNS צוגעגעבן ReadinessProbe, וואָס פּריווענץ מאַסע באַלאַנסינג אויף צונעמען (ניט גרייט פֿאַר דינסט) פּאָדס.
• אין קובעאַדם, אויף פאַסעס init אָדער upload-certs, געווארן מעגלעך לאָדן די סערטיפיקאַץ פארלאנגט צו פאַרבינדן די נייַ קאָנטראָל פלאַך צו די kubeadm-certs סוד (נוצן די פאָן --experimental-upload-certs).
• אַן אַלף ווערסיע איז ארויס פֿאַר Windows ינסטאַליישאַנז שטיצן gMSA (Group Managed Service Account) - ספּעציעלע אַקאַונץ אין אַקטיוו Directory וואָס קענען אויך זיין געוויינט דורך קאַנטיינערז.
• פֿאַר G.C.E. אַקטיווייטיד mTLS ענקריפּשאַן צווישן עטק און קוב-אַפּיסערווער.
• דערהייַנטיקונגען אין געוויינט / אָפענגיק ווייכווארג: גיין 1.12.1, CSI 1.1, CoreDNS 1.3.1, Docker 18.09 שטיצן אין kubeadm, און די מינימום שטיצט Docker API ווערסיע איז איצט 1.26.

פּס

לייענען אויך אויף אונדזער בלאָג:

• «Kubernetes 1.13: איבערבליק פון די הויפּט ינאָווויישאַנז";
• «Kubernetes 1.12: איבערבליק פון די הויפּט ינאָווויישאַנז";
• «Kubernetes 1.11: איבערבליק פון די הויפּט ינאָווויישאַנז";
• «Kubernetes 1.10: איבערבליק פון די הויפּט ינאָווויישאַנז'.

מקור: www.habr.com