Kubernetes 1.12.0 正式发布下载了,该版本增加了两个很重要的功能,即 Kubelet TLS Bootstrap 和 Azure 虚拟机规模集(VMSS)支持,同时还有一些相关的更新,下面为你解析这些新功能。同时在使用上可以参考一下交互式Kubernetes客户端,搭建高效Kubernetes命令行终端。
Kubelet TLS Bootstrap 的一般可用性 关于 Kubelet TLS Bootstrap 可用性方面,在 Kubernetes 1.4 中,我们引入了一个 API,用于从集群级证书颁发机构(CA)请求证书。 此 API 的初衷是为 kubelet 启用 TLS 客户端证书的配置。此功能允许 kubelet 将自身引导至TLS安全群集。 最重要的是,它可以自动提供和分发签名证书。 之前,当kubelet第一次运行时,必须在群集启动期间在带外进程中为其提供客户端凭据。 需要运营商提供这些凭证。由于此任务对于手动执行和复杂自动化而言非常繁重,因此许多运营商为所有kubelet部署了具有单个凭证和单一身份的群集。这些设置阻止了节点锁定功能的部署,如节点授权器和NodeRestriction准入控制器。 为了缓解这种情况,SIG Auth 为 kubelet 引入了一种生成私钥和 CSR 的方法,以便提交到集群级证书签名过程。v1(GA)标识表示生产加固和准备就绪,并具有长期向后兼容性的保证。 除此之外,Kubelet 服务器证书引导程序和轮换正在转向 beta 版。目前,当 kubelet 首次启动时,它会生成一个自签名证书/密钥对,用于接受传入的 TLS 连接。此功能引入了一个在本地生成密钥,然后向集群API服务器发出证书签名请求以获取由集群的根证书颁发机构签名的关联证书的过程。此外,当证书接近过期时,将使用相同的机制来请求更新的证书。
对 Azure 虚拟机规模集(VMSS)和 Cluster-Autoscaler 的支持现在已稳定 Azure 虚拟机规模集(VMSS)允许您创建和管理可以根据需求或设置的计划自动增加或减少的同类 VM 池。这使您可以轻松管理,扩展和负载平衡多个 VM,从而提供高可用性和应用程序弹性,非常适合可作为 Kubernetes 工作负载运行的大型应用程序。
Kubernetes 1.12.0 其它重要的更新 Kubernetes 和 CSI 的快照/恢复功能正在作为alpha功能引入。这提供了标准化的 API 设计(CRD),并为 CSI 卷驱动程序添加了 PV 快照/恢复支持。 拓扑感知动态配置现在处于测试阶段,这意味着存储资源现在可以了解它们的位置。这还包括对 AWS EBS 和 GCE PD 的 beta 支持。 可配置的 pod 进程命名空间共享正在转向 beta,这意味着用户可以通过在 PodSpec 中设置选项来配置 pod 中的容器以共享公共 PID 命名空间。 按条件划分的 Taint 节点现在处于测试阶段,这意味着用户可以通过使用 taints 来表示阻止调度的节点条件。
相关链接
相关主题 |