Kubernetes项目在过去几年中发展迅速,并且作为容器编排和管理解决方案的领导者而备受尊重。有了这个地位,Kubernetes开发者有责任提供经过充分测试,易于维护,高性能和可扩展的API和工具。在即将到来的每个发布周期中,大家都希望继续看到社群聚焦于优先实现现有功能的成熟和稳定而不是新功能的交付。
安全性是Kubernetes的基石。自Kubernetes 1.4以来,开发者一直在研究为集群运维者提供拥有对TLS管控能力的Kubernetes控制平面组件和kubelet。
在Kubernetes 1.12中,TLS bootstrapping在普遍可用性上大放异彩!此功能大大简化了Kubernetes向集群添加和删除节点的能力。
TLS bootstrapping只是故事的开始。集群运维者需负责确保他们管理的TLS保持更新,并且可以在安全事件面前轮换。考虑到这一点,开发人员开发了一种生成CSRs(Certificate Signing Requests)并将其提交给集群内CA(Certificate Authority)的机制。
多租户是一种原则,即软件可以允许以多个“租户”的方式构建,同时保持某些方面的隔离。
通常,基础设施运营商将通过配置隔离硬件和定义路由限制(路由表,VLAN,防火墙规则)来定义这些边界。随着物理,虚拟和容器化环境之间的界限不断模糊,这一切需要进行调整。能够在Kubernetes中使用多租户模式意味着可以进一步利用容器编排器的规模经济优势,同时保证我们的租户安全。
而此时面临的一个问题是如何确定一个租户的工作负载对整个集群中另一个租户的工作负载的优先级。在此Kubernetes 1.12版本中,可以通过新的ResourceQuotaScopeSelector功能支持各种资源配额的优先级。这增强了Kubernetes1.11中提供的优先级分配功能。
在网络安全方面,两个NetworkPolicy组件已GA:egress和ipBlock。
Egress,顾名思义使管理员能够定义网络流量如何离开Pod以及网络中可以传输流量的部分。ipBlock功能允许在NetworkPolicy定义中定义CIDR范围。
HPA(Horizontal Pod Autoscaler)和VPA(Vertical Pod Autoscaler)类似于那些非容器化自动缩放原理,其中pod可以分别通过创建/删除pod或扩展/收缩pod的资源请求来对负载的变化做出反应。这些功能有助于减少集群运维者配置额外计算节点以处理容量问题时的工作量。
对于Kubernetes 1.12,HPA改进了算法,以帮助确保容器数量更快地达到适当的大小。此外,新版HPA API(v2beta2)改进了对在更广泛的情况下使用自定义指标的支持,以确定何时需要增加或减少pod count。
VPA是Kubernetes集群的可选插件组件,已向beta版发展,继续保持现有生态系统组件的稳定性。
随着越来越多的有状态工作负载转移到Kubernetes中,提供一个稳定的框架来向集群提供存储变得非常重要。CSI(Container Storage Interface)就是这样框架,并在几个发布周期中得到了持续的改进。
存储呈现的一个关键特征是考虑存储相对于pod的位置。物理位置上远离Kubernetes的存储会引起延迟和可靠性问题。为了解决这个问题,CSI现在支持拓扑感知的概念,并且此功能在Kubernetes 1.12中转为beta版。这意味着状态工作负载现在可以概念性地了解存储资源的存储位置,无论是架构,数据中心还是可用区域。
kubectl插件在此版本中作为alpha版引入。这个设计类似于git风格的插件。随着运营者对kubectl的日常使用变得更加根深蒂固,适合常见用例的模式已得到开发,例如在特定命名空间中定位kubectl命令。
使用kubectl插件,开发人员可以在不融入核心kubectl代码库的情况下扩展到kubectl,以适应他们的管理方案。这将使团队能够以更一致的方式更快地开发和提供kubectl功能。
本文转移K8S技术社区-综评:5个方面看刚刚发布的Kubernetes 1.12
