此次发布继续关注内部改进与功能完善,旨在进一步提升与Kubernetes对接时的稳定性。这一最新版本亦在安全性与Azure等关键功能上做出增强。另外,最新版本还为两项备受期待功能的通用版本——分别为Kubelet TLS Bootstrap与Azure虚拟机规模集(简称VMSS)——提供支持。
主要新特性:
Kubelet TLS Bootstrap通用版本正式亮相
Kubelet运行时,配置证书凭证过程负载,自动化难,因此不少操作人员倾向于为全部kubelet部署一套具有单一凭证及单一身份的集群。但在这样的设置之下,节点授权器(Node Authorizer)与节点限制准入控制器(NodeRestriction admission controller)等节点锁定功能将无法部署。
为了缓解这种情况,SIG Auth为kubelet引入了一种新的私钥与CSR生成方法,可将其提交至集群级证书签名流程当中。目前的v1(通用版本)标识代表着其已经拥有生产级别的稳定性与就绪水平,且具有长期向下兼容性保证。
除此之外,kubelet服务器证书引导程序与轮换机制也正朝着beta测试版迈进。目前,在kubelet首次启动时,其会生成一个自签名证书/密钥对,用于接收传入的TLS连接。此项功能的具体流程为:以本地方式生成一个密钥,而后面向集群API服务器发送一条证书签名请求以获取由集群root证书颁发机构签名的关联证书。此外,当证书即将过期时,其还会利用相同的机制申请经过更新的证书。
对Azure虚拟机规模集(简称VMSS)以及Cluster-Autoscaler的支持现已稳定
Azure虚拟机规模集(简称VMSS)允许用户根据需求或设置的计划创建并管理可自动增加或减少的同类虚拟机资源池。通过这种方式,您将能够轻松对多套虚拟机进行管理、扩展以及负载均衡,从而提供更高的可用性与应用程序弹性,最终支撑起以Kubernetes工作负载形式运行的大规模应用程序。
凭借这一新的稳定功能,Kubernetes现已支持利用Azure VMSS扩展容器化应用程序,包括将其与cluster-autoscaler相集成以根据相同条件自动调整Kubernetes集群的规模。
其它值得关注的功能更新
Ø RuntimeClass 是一种新的集群范围资源,能够将容器运行时属性在控制层中进行表达。目前,这项功能正处于alpha测试阶段。
Ø 面向Kubernetes与CSI的快照/恢复功能目前也处于alpha测试阶段。其负责提供标准化API设计(CRD),并为CSI分卷驱动程序提供PV快照/恢复支持。
Ø 拓扑感知动态配置目前处于beta测试阶段,其使得存储资源能够感知到自身所处位置。此外,其对AWS EBS以及GCE PD的支持功能也在beta测试当中。
Ø 可配置Pod进程命名空间共享正逐步进入beta测试阶段,意味着用户能够在Pod之内配置容器,并通过在PodSpec中设置选项以共享同一通用PID命名空间。
Ø 按条件taint节点目前处于beta测试阶段,意味着用户能够利用taint来表达阻止调度的节点条件。
Ø Horizontal Pod Autoscaler中的任意/自定义指标转向第二轮beta测试,用以检验其它功能增强效果。此次重新设计的Horizontal Pod Autoscaler功能包括对自定义指标及状态条件的支持能力。
Ø Horizontal Pod Autoscaler的规模调整提速功能亦逐步转向beta测试阶段。
Ø Pod垂直伸缩功能目前处于beta测试阶段,意味着用户可以在Pod的生命周期之内改变其中的资源限制条件。更具体地讲,这项功能对于pet(即撤销及重建成本极高的Pod)管理极具实际意义。
Ø 通过KMS实现的静态加密目前处于beta测试阶段。其添加了更多加密提供程序,包括Google Cloud KMS、Azure Key Vault、AWS KMS以及Hashicorp Vault等,能够对存储在etcd中的数据进行加密。
(来源:公众号Docker)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
