摘要:新功能版本增加了安全性有狀態(tài)的應(yīng)用程序和可擴(kuò)展性等功能���。網(wǎng)絡(luò)已從升級(jí)到新的組���。
?
根據(jù) Kubernetes Google Group 產(chǎn)品經(jīng)理 Aperna Sinha 和 Kubernetes Mirantis 項(xiàng)目經(jīng)理 Ihor Dvoretskyi 的說(shuō)法,Kubernetes 1.7 中的 API aggregation 功能使用戶可以在運(yùn)行時(shí)添加自定義的 API 服務(wù)器�,與 Kubernetes 默認(rèn)的服務(wù)器同時(shí)運(yùn)行�。同時(shí),extensible admission controllers, pluggable cloud providers, 和 container runtime interface (CRI) enhancements 也是發(fā)布的亮點(diǎn)�。
Kubernetes 1.7: 功能落地于商業(yè)應(yīng)用
不同于 Kubernetes 1.6 對(duì)規(guī)模和自動(dòng)化的關(guān)注,Kubernetes 1.7 關(guān)注點(diǎn)集中在安全性��、儲(chǔ)存和擴(kuò)展性功能上——這一舉措是 Kubernetes 應(yīng)用于企業(yè)環(huán)境中���,并廣泛使用的動(dòng)力�����。
在 Kubernetes 1.7 中���,安全性的改進(jìn)包括���,Encrypted secrets, network policy for pod-to-pod communication, node authorizer 限制 kubelet 訪問(wèn)和 客戶端 / 服務(wù)端 TLS certificate rotation。
對(duì)于在 Kubernetes 上運(yùn)行橫向擴(kuò)展數(shù)據(jù)庫(kù)的用戶�, Kubernetes 1.7 中的一個(gè)主要功能是向 StatefulSets 添加自動(dòng)更新,并增強(qiáng)了 DaemonSets 的更新�。 重大利好:新版本有了對(duì)本地存儲(chǔ)的 Alpha 支持和用于縮放 StatefulSets 的快速模式。
在 Storage 方面的改善�����,基于 Volume 的優(yōu)化����,可令企業(yè)級(jí)應(yīng)用得到更為標(biāo)準(zhǔn)化的管理;Network 隔離方面也有相應(yīng)的改善�����。
這說(shuō)明 Kubernetes 已經(jīng)從集群功能擴(kuò)展到對(duì)企業(yè)功能支持�����,并落地到企業(yè)產(chǎn)品安全性需求上面�。這對(duì) Kubernetes 在企業(yè)中的落地化可謂是一次質(zhì)的飛躍。
根據(jù) Kubernetes Google Group 產(chǎn)品經(jīng)理 Aperna Sinha 和 Kubernetes Mirantis 項(xiàng)目經(jīng)理 Ihor Dvoretskyi 的說(shuō)法�����,Kubernetes 1.7 中的 API aggregation 功能使用戶可以在運(yùn)行時(shí)添加自定義的 API 服務(wù)器,與 Kubernetes 默認(rèn)的服務(wù)器同時(shí)運(yùn)行���。同時(shí)�����,extensible admission controllers, pluggable cloud providers, 和 container runtime interface (CRI) enhancements 也是發(fā)布的亮點(diǎn)��。
Kubernetes 1.7 新功能
Kubernetes 1.7 版本增加了安全性����、有狀態(tài)的應(yīng)用程序和可擴(kuò)展性等功能�。
安全性增強(qiáng)功能包括加密的機(jī)密數(shù)據(jù)��,Pod 與 Pod 之間通信的網(wǎng)絡(luò)策略�����,節(jié)點(diǎn)授權(quán)器限制 Kubelet 訪問(wèn) API 資源以及 Kubelet 客戶端/服務(wù)器 TLS 證書(shū)輪換��。
有狀態(tài)應(yīng)用程序的主要功能包括 StatefulSets 的自動(dòng)更新�����,DaemonSets 的增強(qiáng)型更新,用于更快的 StatefulSets 擴(kuò)展的突發(fā)模式以及對(duì)本地存儲(chǔ)的支持��。
可擴(kuò)展性功能包括 API 聚合����,Custom Resource Definition,有利于 Third Party Resources���,支持可擴(kuò)展允許控制器��,可插拔云提供商和容器運(yùn)行時(shí)接口(CRI)增強(qiáng)功能��。
網(wǎng)絡(luò)
NetworkPolicy 已從 extension / v1beta1 升級(jí)到新的 networking.k8s.io/v1 API 組�����。結(jié)構(gòu)與 v1beta1 API 保持不變�����。Namespaces 中的net.beta.kubernetes.io/network-policy 注釋(用于選擇隔離)已被刪除�。相反,隔離現(xiàn)在是以每個(gè) pod 為基礎(chǔ)確定的����。 NetworkPolicy 可以通過(guò)在其spec.podSelector 中包含該 pod 來(lái)定位一個(gè) pod 來(lái)進(jìn)行隔離。 Targeted Pods 接受相應(yīng) NetworkPolicy 中指定的通信���。默認(rèn)情況下�,任何 NetworkPolicy 未定位的 pod 都接受所有通信���。
存儲(chǔ)
刪除 Alpha volume 配置�����,使用默認(rèn)存儲(chǔ)類�����。
Portworx volume 驅(qū)動(dòng)程序不再需要在 master 上運(yùn)行����。
Cinder 存儲(chǔ)類中的默認(rèn)行為已更改���。
hostPath volume 路徑或者 volumeMount 子路徑中包含父目錄引用(例如../bar)的 Pod Spec 必須更改為絕對(duì)路徑。 Backsteps 則不再允許。
更多其他新功能可以點(diǎn)擊“閱讀原文”查閱�����。
Kubernete 實(shí)踐筆記
作為 Kubernetes 的深度用戶及社區(qū)參與者����,我們?cè)谟?Kubernetes 1.7 發(fā)布的同時(shí)會(huì)去思考其更深的意義。在有狀態(tài)服務(wù)層面�����,StatefulSet 的 Rolling Update 功能進(jìn)入了 Beta��,意味著我們可以更加“自信地”更新有狀態(tài)服務(wù)���。當(dāng)然�,真正利用在生產(chǎn)上還需要我們進(jìn)行更加深入的測(cè)試�。另一方面,本地存儲(chǔ)卷的功能使得我們可以將更多有狀態(tài)服務(wù)運(yùn)行在 Kubernetes 上��。
——才云科技(Caicloud)CTO 鄧德源
才云在 Kubernetes 企業(yè)化落地方面做了許多國(guó)內(nèi)接地氣的工作��,比如:基于 Kubernetes 的 CI/CD ��、對(duì) Image 支持的 Cargo,對(duì)便于創(chuàng)建 Kubernetes 微服務(wù)的模版���,令 Kubernetes 使用更簡(jiǎn)單����,并且能更多地使用到基于 SaaS 層的應(yīng)用���。
他們計(jì)劃利用本地存儲(chǔ)功能將大數(shù)據(jù)的負(fù)載運(yùn)行在 Kubernetes 內(nèi)��,包括對(duì)存儲(chǔ)的管理也運(yùn)行在 Kubernetes 中�。本地存儲(chǔ)卷管理與數(shù)據(jù)息息相關(guān)��,在制定計(jì)劃時(shí)才云傾向于保守���,因此 Kubernetes 1.8 本地存儲(chǔ)依然會(huì)是 Alpha�����,但是才云會(huì)從 1.7 版本開(kāi)始嘗試本地存儲(chǔ)功能���,并持續(xù)推動(dòng)社區(qū)發(fā)展。
Kubernetes 1.7 的另一個(gè)重點(diǎn)可擴(kuò)展性�����,例如 API aggregation, extensible admission controllers 等�。實(shí)際上,Kubernetes 的一個(gè)核心優(yōu)勢(shì)就在于可擴(kuò)展性��,這次的更新并不意外�。才云已經(jīng)是 Kubernetes 可擴(kuò)展性的受益者,例如:才云大量使用了 Kubernetes Thirdparty Resource (伴隨著 1.7 的發(fā)布�,需要遷移至 Custom Resoruce Definition) 管理內(nèi)部資源,使用 Namespace Finalizer 進(jìn)行資源清理��,使用 External Scheduler 進(jìn)行自定義調(diào)度管理等���。
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/32584.html
