先睹为快 ▏Kubernetes 1.5有哪些你不得不知的新功能？

今年9月份咱们迎来了Kubernetes 1.4的惊喜发布，一大波新功能让人眼花缭乱。通过将近三个月时间的打磨，现在Kubernetes再推出新版本，翘首以盼的Kubernetes 1.5重磅发布，本次版本更新涵盖了4个主题、12个新特性以及4个原有基础上的重大变动。期待不如眼疾手快，翻阅文章内容，享受一场Kubernetes 1.5的饕餮大餐吧~

主题简介：

一、StatefulSets (原名PetSets)

• StatefulSets 如今是 beta 版 (主要是修复和稳定性)

二、改善联邦支持

• 新命令：kubefed

• DaemonSets

• 部署

• Configmaps

三、简化集群部署

• 改进kubeadm

• Master的HA设置

四、节点鲁棒性及可扩展性

• 支持Windows Service容器

• 实现了CRI（容器运行时接口）

• 添加kubelet API调用时身份验证和受权

新特性简介：

一、API 机制

• [beta] kube-apiserver支持OpenAPI从alpha移动到beta, 第一个non-go客户端是基于此特性。

二、应用

• [Stable]当replica sets不能建立Pods时，它们将经过API报告失败的详细底层缘由。

• [Stable] kubectl apply现可经过--prune删除再也不须要的资源

• [beta] Deployments现可经过API升级到新版本，而以前是没法经过滚动来进行升级的

• [beta] StatefulSets容许要求持久化identity或单实例存储的工做负载从而在Kubernetes建立和管理。

• [beta]为了提供安全保障，集群不会强行删除未响应节点上的Pods，若是用户经过CLI强行删除Pods会收到警告。

三、认证

• [Alpha]改进了基于角色的访问控制alpha API。（包括一组默认的集群角色）

• [Beta]添加了对Kubelet API访问的认证/受权机制。

四、AWS

• [stable]角色出如今kubectl get nodes的结果里。

五、集群生命周期

• [alpha] 提高了kubeadm二进制包的交互和可用性，从而更易于新建一个运行集群。

六、集群运维

• [alpha] 在GCE上使用kube-up/kube-down脚原本建立/移除集群高可用（复制）的主节点。

七、联邦

• [beta] 支持联邦ConfigMaps。

• [alpha] 支持联邦Daemonsets。

• [alpha] 支持联邦Deployments。

• [alpha]集群联邦：为联邦资源添加对于DeleteOptions.OrphanDependents的支持。

  • [alpha]引入新命令行工具：kubefed，简化联邦控制台的部署以及集群注册/注销体验。

八、网络

• [stable]服务能够经过DNS名称被其余服务引用，而不是只有在pods里才能够。

• [beta]为NodePort类型和LoadBalancer的服务保留源IP的选项。

• [stable]启用beta ConfigMap参数支持的DNS水平自动伸缩

九、节点

• [alpha]支持在容器运行时启用用户命名空间重映射的时候，保留对宿主用户命名空间的访问。

• [alpha]引入了v1alpha1版本的CRI(容器运行时接口) API，它容许可插拔的容器运行时；现有一个已经就绪的用于测试和反馈的docker-CRI集成。

• [alpha]Kubelet基于QoS层在每一个Pod的CGroup层级里启动容器。

• [beta]Kubelet集成了memcg提示消息API，来检测是否超过阈值。

• [beta]引入了Beta版本的容器化节点一致性测试: gcr.io/google_containers/node-test:0.2。从而让用户验证node设置。

十、调度

• [alpha]添加了对不透明整数资源(node级)的审计支持。

• [beta] PodDisruptionBudget已经升级到Beta版，当想要应用SLO时，能够用来安全地drain节点。

十一、UI

• [stable]Dashboard UI现在显示面向用户的对象及它们的资源使用状况。

十二、Windows

• [alpha]添加了对Windows Server 2016节点和调度Windows Server Container的支持。

已知问题

• CRI已知问题及限制。

• 当volume路径包含空格时，DeviceNameFromMount()函数不能正确的返回volume路径。

• 联邦alpha版的特性不具备特征定义，所以默认启用，在将来的版本中将修复这一问题。

• 联邦控制面板可经过更新控制面板组件Deployment规格的镜像字段来进行升级，然而在该版本中联邦控制面板升级还没有进行测试。

重大改变

一、节点控制器再也不强行删除来源于apiServer的pods

• 对于有状态的应用StatefulSet(原名为 PetSet)而言，这个改动意味着建立替换的Pods被阻塞，直到旧的Pods肯定再也不运行(意味着kubelet从分区返回，Node对象的删除，云服务商里实例的删除，或强行删除api-Server里的Pod)。这里经过确保不可达的Pod不会被认为已经死亡来防止集群应用出现“脑裂”的情况，除非一些“包围”操做提供了上述之一的状况。

• 对于其余现有的除StatefulSet外的控制器，这对于控制器替换Pods没有影响，由于控制器不会重用Pods名称(他们使用generate-name)

• 用户编写的控制器会重用Pod对象的名称，应该考虑这个变化。

• 当使用kubectl delete ... --grace-period=0 删除一个对象时，客户端将开始进行优雅的删除并等待，直到资源彻底被删除。要当即强制删除，使用--force 标志。这能够防止用户不当心让两个Stateful Set共享可能致使数据损坏的相同的持久存储。

二、容许匿名API服务器的访问，经过受权组系统设置认证的用户

• kube-apiserver添加了--anonymous-auth 标志，默认为true。当它启用时，访问安全端口的请求不会被其余配置的认证方法所拒绝，这些请求被当作匿名请求，而且用户名为system:anonymous，组织为system:unauthenticated。
  认证的用户被设为system:authenticated组。

三、即便路径是用于类型的有效字段，若是路径在json文件下不提供字段，kubectl get -o jsonpath=... 将抛出一个错误。这个改变从pre-1.5版本开始，即便他们目前不在 json文件下，也会返回一些字段的默认值。

四、对于VolumeMounts的strategicmerge patchMergeKey是由“名称”到“mountPath”的改变。这是必要的，由于名称字段引用Volume的名称，而且不是VolumeMount的惟一键。若是安装多个相同的volume，多个VolumeMounts将有一样的 Volume名称。“mountPath”是独一无二的，并能够做为mergekey。

升级前注意事项

一、升级前重要的安全相关改变

• 必须在kube-apiserver设置--anonymous-auth=false参数，除非你是一个测试该功能的开发者而且了解它。若是不这样，你会容许未经受权的用户访问你的apiserver。

• 必须在联邦apiserver设置--anonymous-auth=false参数，除非你是一个测试该功能的开发者而且了解它。若是不这样，你会容许未经受权的用户访问你的联邦apiserver。你不须要调整kublete的该参数：1.4的Kubelet APIs没有受权。

二、batch/v2alpha1.ScheduledJob被重命名为batch/v2alpha1.CronJob。

三、PetSet被重命名为StatefulSet。若是你如今有PetSets，你要在升级为StatefulSets先后进行一些额外的迁移操做。

四、若是你从v1.4.x升级你的集群联邦组件，请更新你的federation-apiserver和federation-controller-manager到新版本。

五、废弃的kubelet --configure-cbr0参数被移除。经典的网络模式也是。若是你依赖于此模式，请调研其余的网络插件kubenet或cni是否知足需求。

六、新的client-go结构，参考kubernetes/client-go进行版本控制策略。

七、废弃的kube-scheduler --bind-pods-qps和--bind-pods burst参数被移除，替换为--kube-api-qps和--kube-api-burst。

八、若是你须要使用1.4的特性:PodDisruptionBudget(例如建立了PodDisruptionBudget对象)，那么在从1.4升级为1.5以前，你必定要删除全部建立的PodDisruptionBudget对象(policy/v1alpha1/PodDisruptionBudget)。升级以后不可能删除这些对象。它们的存在也会妨碍你使用1.5里Beta版的PodDisruptionBudget特性(policy/v1beta1/PodDisruptionBudget)。若是你已经进行了升级，那么你须要降级到1.4来删除这些policy/v1alpha1/PodDisruptionBudget对象。

tips：查看更多精彩内容？关注公众号：tenxcloud2(时速云订阅号)，咱们后续还会发布kubernetes 1.5相关文章，你们持续关注哦~