Kubernetes v1.17 版本解读 | 云原生生态周报 Vol. 31

时间 2020-09-29

标签 kubernetes v1.17 版本解读原生生态周报 vol 繁體版

原文原文链接

做者 | 徐迪、李传云、黄珂、汪萌海、张晓宇、何淋波、陈有坤、李鹏
审核 | 陈俊node

上游重要进展

1. Kubernetes v1.17 版本发布

功能稳定性是第一要务。v1.17 包含 22 个加强功能：14 个加强功能已逐渐稳定，4 个加强功能已进入 beta 版，4 个加强功能已进入 alpha 版本。git

Major Theme

云提供商标签达到 GA

这个自 1.2 版本就引入的 label，在 1.17 版本终于 GA。以前旧的 label 已经被废弃掉：如下 3 个旧的 label 已经被废弃掉了：github

beta.kubernetes.io/instance-type (deprecated) -> node.kubernetes.io/instance-typegolang

failure-domain.beta.kubernetes.io/region (deprecated) -> topology.kubernetes.io/regiondocker

failure-domain.beta.kubernetes.io/zone (deprecated) -> topology.kubernetes.io/zoneapache

Volume Snapshot 进入 beta

在 1.12 版本中首次以 v1alpha 版本引入，在 1.13 中升级为 v2alpha（不兼容 v1alpha 版本），目前在 1.17 版本正式进入 beta 版；windows

in-tree 存储插件迁移到 CSI 已经是 beta

从 1.14 开始迁移 alpha。api

特性稳定

Taint Node by Condition GA

将 kube-scheduler 所关心的 Node 状态从 Conditions（例如：OutOfDiskMemoryPressure）转化到 Taints。Taints 成为 kube-scheduler 判断 Node 状态的惟一来源，同时用户也能够在 Pod 上经过声明 Tolerations 来容忍调度到有这些 Taints 的节点。安全

Configurable Pod Process Namespace Sharing

Pod 内全部容器共享 PID Namespace 特性 GA。该特性将方便 Pod 内进程信号传递(如 Sidecar 容器中的日志进程完成日志轮转后，通知业务容器进程使用新的日志)以及 Pod 内僵尸进程回收等。服务器

ScheduleDaemonSet Pods by kube-scheduler

Damoneset 的 pod 的调度从 daemonset controller 迁移到 kube-scheduler 来作调度，从而支持 PodAffnity、PodAntiAffinit 等能力。

DynamicMaximum Volume Count

该特性是为了支持调度感知单个 Node 上能够挂载的 Volume 个数的上限，且每一个 Node 的上限可由存储插件本身动态设置。通常云厂商提供的云主机对某些存储卷(如块存储)能挂载的数量有限制，该特性支持调度器在选择 Node 时排除那些挂载的存储卷已经超过该 Node 支持的 Maximum Volume Count 的 Node 节点。

KubernetesCSI Topology Support

经过 CSI 实现的存储插件支持存储拓扑调度感知特性，便可以经过 Pod 被调度到的 Node 对应的拓扑位置信息(如 Node 所属的 Region/Zone/Rack 等等)决定动态建立的云存储的拓扑位置，也能够经过 StorageClass 限制动态建立的存储的拓扑位置，还能够经过 Pod 使用的 PV 的拓扑限制决定 Pod 可被调度的 Node 节点。

Provide Environment Variables Expansion in SubPathMount

subPath 用在单个 Pod 多个容器或者一个容器中多个 mountPath 在共享同一个 volume 时以建子目录的方式在同一个 Volume 上作目录隔离。而 subPathExpr 字段能够从 Downward API 环境变量构造 subPath 目录名，可更加灵活地动态生成对应的子目录名。

Defaulting of Custom Resources

Custom Resource 目前缺少 default 机制，而 default 值对 API 的兼容性影响重大。这个功能经过 OpenAPI v3 的校验机制来为 CRD 添加默认值。

Move Frequent Kubelet Heartbeats To Lease Api

Lease api 进入 GA 阶段，kubelet 使用 lease api 周期性汇报心跳，相比 NodeStatus，lease 对象更小，能够下降 kube-apiserver 压力。

Break Apart The Kubernetes Test Tarball

kubernetes-test.tar.gz 以前打包内嵌了各个平台的二进制文件。如今发行的 Kubernetes-test 包将以平台为单位，分拆成多个包。

Watch Bookmarks GA

kube-apiserver 经过增长 Bookmark 事件通知 watcher 服务器端当前最新 resourceVersion，能够下降 watcher 重启时对 kube-apiserver 形成的压力。

Behavior-Driven Conformance Testing

一致性测试框架进行修改以支持定义行为测试。行为测试是一组基于经验，代码检查，API 模型为视角的测试定义。而测试自己是具体对行为进行验证。此功能让二者进行分离。

Finalizer Protection For Service Loadbalancers

增长 finalizer 去作 Load Balancer 类型的 Service 删除保护，确保 Service 这种资源对象在 Load Balancer 被摘除以后才能被删除。

Avoid Serializing The Same Object Independently ForEvery Watcher

以前多个客户端 watch 同一个对象时，须要对同一个对象序列化屡次，引入该特性后，同一个对象只须要序列化一次，在 5000 个节点的测试环境中，能够减小 5% 的 CPU 和 15% 的内存消耗。

重要变化

Add IPv4/IPv6 Dual Stack Support 添加 IPv4/IPv6 双协议栈支持。即容许将 IPv4 和 IPv6 地址分配给 Pods 和服务。预计会在 1.18 版本对 kube-proxy 支持 IPv4/IPv6 双协议栈，代码正在 review 中；

其余重要特性

Topology Aware Routing of Services (Alpha)：即让 Service 能够实现就近转发，好比同节点、同 AZ、同 Region 等等；
RunAsUserName for Windows：加强 windows 容器的安全性，经过 feature gate 开启。1.16 版本 alpha 功能引入，在 1.17 已经变成 beta 版本（默认自动开启）。

2. Knative变动

安装后不启动实例

目前第一次启动时老是启动一个，用来检查用户代码是否正常工做，但在某些场景下不想启动任何实例。建议实现一个全局配置，而且能够在 revision 级别覆盖配置，若是不启动实例，则立刻把状态设置为 ready，若是有流量过来按冷启动流程启动实例。

想在 revision 中添加 dnsPolicy 和 runtimeClassName

尚未足够的理由添加这些属性。

proposal to delete ingress channel

从 Broker/Trigger 模型中删除 ingress channel。当前 Broker 会建立 2 个 channels: trigger 和 ingress. ingress channel 用于接收 trigger 的响应结果，而后发送给 ingress service. 可是目前看起来是额外的多了一跳，引入了延迟和可靠性的问题，比较好的方式是直接将响应结果发送给 ingress service.