Container Service for Kubernetes (ACK) secara ketat mematuhi ketentuan Program Sertifikasi Kesesuaian Kubernetes. Topik ini menjelaskan perubahan yang dilakukan oleh ACK Lingjun untuk mendukung Kubernetes 1.22.
Pembaruan versi
Semua komponen dalam klaster ACK Lingjun telah diperbarui dan dioptimalkan guna mendukung Kubernetes 1.22.
Komponen utama | Versi | Deskripsi |
Kubernetes | 1.22.15-aliyun.1 |
|
etcd | 3.5.1 | Tidak ada |
CoreDNS | v1.9.3.6-32932850-aliyun | Pembaruan ini tidak memengaruhi beban kerja Anda. Fitur berikut disediakan:
|
CRI | containerd 1.5.13 | Tidak ada |
CSI | v1.26.3-fc2ba2a-aliyun | Tidak ada |
CNI | Terway v1.5.7 | Tidak ada |
NVIDIA Container Runtime | 3.13.0 | Tidak ada |
Ingress Controller | v1.8.0-aliyun.1 | Pembaruan ini dapat menyebabkan gangguan sementara pada beban kerja Anda dan menyebabkan masalah kompatibilitas dengan konfigurasi beban kerja Anda. Kami sarankan Anda mengevaluasi dampak pembaruan komponen sebelum Anda memperbarui ke Kubernetes 1.22. |
Detail versi
Perubahan dan penghapusan resource
[Perubahan resource] Versi API
admissionregisration.k8s.io/v1beta1untuk resource MutatingWebhookConfiguration dan ValidatingWebhookConfiguration tidak lagi digunakan. Konfigurasi webhook admission dan konfigurasi webhook mutating tidak dapat dibuat menggunakan versi API ini, yang memengaruhi penggunaan webhook admission dan webhook mutating. Anda dapat menggunakan versi APIadmissionregisration.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
apiextensions.k8s.io/v1beta1untuk resource CustomResourceDefinition (CRD) tidak lagi digunakan. CRD tidak dapat dibuat menggunakan versi API ini, yang memengaruhi rekonsiliasi controller yang menggunakan CRD. Anda dapat menggunakan versi APIapiextensions.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
apiregistration.k8s.io/v1beta1untuk resource APIService tidak lagi digunakan. API Kubernetes yang diperluas yang dikelola menggunakan versi API ini tidak dapat digunakan. Anda dapat menggunakan versi APIapiregistration.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
authentication.k8s.io/v1beta1untuk resource TokenReview tidak lagi digunakan. TokenReviews yang dibuat menggunakan versi API ini tidak dapat digunakan untuk autentikasi, yang memengaruhi aplikasi Anda. Anda dapat menggunakan versi APIauthentication.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
authorization.k8s.io/v1beta1untuk resource SubjectAccessReview tidak lagi digunakan. SubjectAccessReviews yang dibuat menggunakan versi API ini tidak dapat digunakan untuk otorisasi, yang memengaruhi aplikasi Anda. Anda dapat menggunakan versi APIauthorization.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
certificate.k8s.io/v1beta1untuk resource CertificateSigningRequest (CSR) tidak lagi digunakan. CSR yang dibuat menggunakan versi API ini tidak dapat digunakan dalam penandatanganan dan penerbitan sertifikat. Anda dapat menggunakan versi APIcertificates.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
coordination.k8s.io/v1beta1untuk resource Lease tidak lagi digunakan. Lease yang dibuat menggunakan versi API ini tidak dapat digunakan untuk pemilihan pemimpin, yang memengaruhi aplikasi Anda. Anda dapat menggunakan versi APIcoordination.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
networking.k8s.io/v1beta1danextensions/v1beta1untuk resource Ingress dan IngressClass tidak lagi digunakan. Ingress yang dibuat menggunakan versi API ini tidak dapat digunakan untuk mengekspos Layanan. Anda dapat menggunakan versi APInetworking.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
rbac.authorization.k8s.io/v1beta1untuk resource ClusterRole, ClusterRoleBinding, Role, dan RoleBinding tidak lagi digunakan. Resource kontrol akses berbasis peran (RBAC) yang dikelola menggunakan versi API ini tidak dapat digunakan untuk memberikan izin untuk mengelola aplikasi dan klaster. Anda dapat menggunakan versi APIrbac.authorization.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
storage.k8s.io/v1beta1untuk resource CSIDriver, CSINode, StorageClass, dan VolumeAttachment tidak lagi digunakan. Jika Anda menggunakan versi API ini untuk mengelola resource yang terkait dengan Plugin Antarmuka Penyimpanan Kontainer (CSI), plugin CSI mungkin tidak berjalan dengan normal dan layanan penyimpanan di klaster Anda terpengaruh. Anda dapat menggunakanstorage.k8s.io/v1sebagai gantinya.[Perubahan resource] Versi API
scheduling.k8s.io/v1beta1untuk resource PriorityClass tidak lagi digunakan. PriorityClasses yang dikelola menggunakan versi API ini tidak dapat digunakan untuk mengonfigurasi prioritas pod. Anda dapat menggunakan versischeduling.k8s.io/v1sebagai gantinya.Dockershim sudah tidak digunakan lagi dan akan dihapus di Kubernetes 1.22. Untuk informasi lebih lanjut, lihat EP-2221 dan cri-containerd.
Sebelum Anda memperbarui ke Kubernetes 1.22, kami sarankan Anda melakukan langkah-langkah berikut untuk memigrasi beban kerja yang berjalan di kontainer Docker ke kontainer yang menggunakan runtime kontainer lain:
Tentukan spesifikasi node dan hitung jumlah node yang menjalankan runtime kontainer selain Docker berdasarkan jumlah kontainer Docker yang ada.
Tambahkan node baru ke klaster Anda selama jam-jam sepi.
Kuras node yang menjalankan runtime Docker satu per satu. Setiap kali sebuah node dikuras, verifikasi bahwa pod aplikasi di node tersebut berhasil bermigrasi ke node baru sebelum Anda menguras node lainnya.
Setelah semua node yang menjalankan runtime Docker dikuras dan tidak ada pod yang berjalan di node tersebut, hapus node tersebut.
[Penghapusan resource] Di Kubernetes 1.22.10 dan versi selanjutnya, kube-proxy tidak lagi mendengarkan port dari Layanan NodePort. Setelah pembaruan ini, koneksi TCP mungkin gagal sesekali jika rentang port Layanan NodePort (ditentukan oleh parameter ServiceNodePortRange server API) bertentangan dengan rentang port yang ditentukan oleh parameter kernel
net.ipv4.ip_local_port_range. Ini dapat menyebabkan kegagalan pemeriksaan kesehatan dan menyebabkan pengecualian layanan pada node. Sebelum Anda memperbarui versi Kubernetes klaster Anda ke 1.22.10 atau yang lebih baru, pastikan bahwa rentang port semua Layanan NodePort di klaster tidak bertentangan dengan rentang port yang ditentukan oleh parameter kernelnet.ipv4.ip_local_port_range. Untuk informasi lebih lanjut tentang cara mengonfigurasi rentang port Layanan NodePort, lihat Bagaimana cara mengonfigurasi rentang port Layanan NodePort? atau PR Komunitas Kubernetes.
Peningkatan fitur
Secara default, fitur ImmutableEphemeralVolumes diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Anda dapat menggunakan fitur ini untuk mengatur ConfigMaps dan Secrets sebagai immutable, yang secara signifikan mengurangi beban pada server API Kubernetes klaster Anda. Untuk informasi lebih lanjut, lihat Secrets dan ConfigMaps.
Secara default, fitur IPv4/IPv6 dual stack (IPv6DualStack) diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Untuk menggunakan IPv4/IPv6 dual stack, Anda harus menentukan blok CIDR IPv4 dan blok CIDR IPv6 yang sesuai saat Anda membuat klaster, dan menginstal Plugin Antarmuka Jaringan Kontainer (CNI) yang mendukung IPv4/IPv6 dual stack. Untuk informasi lebih lanjut, lihat IPv4/IPv6 dual stack.
Secara default, fitur GracefulNodeShutdown diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Setelah fitur ini diaktifkan, kubelet mengetahui peristiwa shutdown node yang akan terjadi dan dapat mengevakuasi pod di node dalam periode shutdown tertentu. Untuk informasi lebih lanjut, lihat Graceful node shutdown.
Secara default, fitur EfficientWatchResumption diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Fitur ini dapat melanjutkan cache tontonan server API Kubernetes dengan cara yang efisien setelah server API di-restart. Fitur ini cocok untuk klaster berskala besar. Untuk informasi lebih lanjut, lihat KEP-1904.
Secara default, fitur CSIStorageCapacity diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan kube-scheduler menjadwalkan pod ke node yang kapasitas penyimpanannya cukup untuk membuat volume yang digunakan oleh pod. Untuk informasi lebih lanjut, lihat Kapasitas penyimpanan.
Secara default, fitur DaemonSetUpdateSurge diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menggunakan bidang
.spec.strategy.rollingUpdate.maxSurgeuntuk menentukan persentase pod yang dapat dibuat di atas jumlah pod yang diharapkan selama pembaruan bergulir pada DaemonSet. Untuk informasi lebih lanjut, lihat Lakukan Pembaruan Bergulir pada DaemonSet.Secara default, fitur IndexedJob diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda membuat Job yang diindeks dengan mengatur .spec.completionMode ke Indexed dalam konfigurasi Job. Dengan cara ini, anotasi batch.kubernetes.io/job-completion-index dan variabel lingkungan JOB_COMPLETION_INDEX ditambahkan ke setiap pod yang dibuat oleh Job. Untuk informasi lebih lanjut, lihat Kubernetes.
Secara default, fitur MemoryManager diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Anda dapat menggunakan fitur ini untuk mengaktifkan manajemen memori yang sadar NUMA (Non-Uniform Memory Access). Fitur ini cocok untuk aplikasi yang memerlukan sumber daya memori yang dijamin untuk meningkatkan kinerja aplikasi secara signifikan. ACK tidak mengonfigurasi reservasi memori untuk fitur ini. Untuk informasi lebih lanjut, lihat Peta memori saat runtime dan Manfaatkan manajer memori yang sadar NUMA.
Secara default, fitur PodAffinityNamespaceSelector diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menerapkan pemilih label pengaturan afinitas pod di lintas namespace alih-alih dalam namespace yang sama. Ini mengoptimalkan penjadwalan pod berbasis afinitas. Untuk informasi lebih lanjut, lihat KEP-2249.
Secara default, fitur PodDeletionCost diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Setelah fitur ini diaktifkan, pod dengan utilisasi sumber daya yang lebih rendah mengalami biaya penghapusan pod yang lebih rendah. Untuk informasi lebih lanjut, lihat ReplicaSet.
Secara default, PreferNominatedNode diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Setelah fitur ini diaktifkan, kube-scheduler lebih memilih menjadwalkan pod ke node yang dinominasikan. kube-scheduler hanya mengevaluasi node lain jika semua node yang dinominasikan gagal mencocokkan pod. Untuk informasi lebih lanjut, lihat KEP-1923.
Fitur ProbeTerminationGracePeriod diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung liveness probes. Fitur ini memungkinkan Anda mengatur bidang teminationGracePeriodSeconds pada tingkat probe atau pod untuk mempersingkat periode waktu yang harus ditunggu pod sebelum restart setelah pod gagal dalam liveness probe. Untuk informasi lebih lanjut, lihat Konfigurasikan liveness, readiness, dan startup probes.
Secara default, fitur NetworkPolicyEndPort diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menentukan rentang port dalam NetworkPolicy. Untuk informasi lebih lanjut, lihat Kebijakan jaringan.
Secara default, fitur LogarithmicScaleDown diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memberikan pendekatan acak untuk menskalakan pod dan dengan demikian mengurangi dampak masalah yang disebabkan oleh batasan penyebaran topologi pod. Untuk informasi lebih lanjut, lihat Batasan penyebaran topologi pod harus dipertimbangkan saat penskalaan turun dan KEP-2185.
Secara default, fitur SuspendJob diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan pengguna mengelola siklus hidup Job secara lebih efisien. Misalnya, Anda dapat menggunakan fitur ini untuk menangguhkan dan melanjutkan Job. Untuk informasi lebih lanjut, lihat Perkenalkan Job yang Ditangguhkan.
Secara default, fitur ServiceInternalTrafficPolicy diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Anda dapat menggunakan fitur ini untuk merutekan trafik internal ke endpoint node-lokal yang siap atau semua endpoint yang siap di klaster. Untuk informasi lebih lanjut, lihat Layanan.
Secara default, fitur ServiceLoadBalancerClass diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Anda dapat menggunakan fitur ini untuk menyesuaikan load balancing. Untuk informasi lebih lanjut, lihat Tentukan kelas implementasi load balancer.
Secara default, fitur ServiceLBNodePortControl diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menonaktifkan alokasi node port untuk Layanan LoadBalancer dengan mengatur .spec.allocateLoadBalancerNodePorts ke false dalam konfigurasi Layanan. Dengan cara ini, Layanan merutekan trafik langsung ke pod. Untuk informasi lebih lanjut, lihat Nonaktifkan alokasi NodePort load balancer.
Secara default, fitur SizeMemoryBackedVolumes diaktifkan di Kubernetes 1.22 dan versi selanjternya. Fitur ini hanya mendukung node Linux. Anda dapat menggunakan fitur ini untuk menentukan ukuran volume emptyDir berbasis memori dengan mengatur bidang emptyDir.sizeLimit. Ini meningkatkan observabilitas penjadwalan pod. Untuk informasi lebih lanjut, lihat KEP-1967.
Secara default, fitur Server-side Apply diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda melacak perubahan pada bidang konfigurasi resource. Anda dapat melacak informasi tentang perubahan tersebut, seperti sumber, waktu, dan operasi. Untuk informasi lebih lanjut, lihat Server-side apply.
Fitur integrasi Plugin CSI dengan kontainer Windows distabilkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menggunakan CSI Proxy untuk melakukan operasi penyimpanan pada host yang sistem operasinya tidak mendukung kontainer istimewa, seperti Windows Server 2019 dan Windows Server versi 2004. Untuk menggunakan fitur ini, pastikan bahwa plugin CSI yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat CSI Proxy.
Secara default, fitur CSRDuration diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Setelah fitur ini diaktifkan, masa berlaku sertifikat yang akan ditandatangani dan diterbitkan diatur ke nilai yang lebih kecil antara nilai .spec.expirationSeconds dalam CSR dan nilai
--cluster-signing-durationdalam konfigurasi kube-controller-manager. Di klaster ACK, nilai default --cluster-signing-duration dalam konfigurasi kube-controller-manager adalah 10 tahun. Untuk informasi lebih lanjut, lihat Penandatangan.Di Kubernetes 1.22 dan versi selanjutnya, gerbang fitur BoundServiceAccountTokenVolume mencapai General Availability (GA). Saat gerbang fitur ini diaktifkan, masa berlaku token akun layanan default yang tidak dimount sebagai volume proyeksi ke pod adalah satu tahun. Untuk informasi lebih lanjut, lihat Detail fitur.
Fitur baru
Fitur pemantauan kesehatan volume didukung di Kubernetes 1.21 dan versi selanjutnya. Fitur ini membantu mendeteksi status kesehatan volume persisten (PV) yang diaprovisi menggunakan plugin CSI. Ini mencegah data dibaca dari atau ditulis ke PV yang tidak sehat. Secara default, fitur ini diaktifkan untuk klaster ACK yang menggunakan plugin CSI. Untuk menggunakan fitur ini, pastikan bahwa plugin CSI yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat Pemantauan kesehatan volume.
Fitur Kualitas Layanan (QoS) memori yang dikembangkan berdasarkan cgroups v2 didukung di Kubernetes 1.22 dan versi selanjutnya. Dalam skenario di mana sumber daya komputasi tidak mencukupi, seperti skenario di mana terjadi lonjakan permintaan sumber daya, throttling CPU dilakukan untuk memastikan ketersediaan sumber daya CPU. Namun, throttling memori tidak didukung. Untuk mendukung throttling memori, kernel Linux open source mengoptimalkan antarmuka tertentu di cgroups v2. Secara default, fitur QoS memori diaktifkan untuk klaster ACK. Fitur ini hanya mendukung node Linux. Untuk menggunakan fitur ini, pastikan bahwa kernel OS node Linux yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat Fitur Memcg QoS dari antarmuka cgroup v1 dan 2570-memory-qos.
Kontainer istimewa Windows dapat dibuat dari kontainer HostProcess di Kubernetes 1.22 dan versi selanjutnya. Secara default, fitur kontainer HostProcess Windows diaktifkan untuk klaster ACK. Untuk menggunakan fitur ini, pastikan bahwa kernel OS node yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat Apa yang baru untuk kontainer Windows di Windows Server 2022 dan Buat Pod HostProcess Windows.
Fitur memori swap didukung untuk beban kerja di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Untuk skenario di mana fitur memori swap diperlukan, Anda dapat menggunakan fitur memori swap untuk meningkatkan kinerja aplikasi Anda. Misalnya, administrator node ingin meningkatkan kinerja node atau mengurangi masalah stabilitas yang disebabkan oleh persaingan memori. Fitur memori swap dinonaktifkan untuk klaster ACK. Untuk informasi lebih lanjut, lihat Manajemen memori swap dan KEP-2400.
Profil seccomp default dikonfigurasi untuk beban kerja di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Setelah fitur ini diaktifkan, profil seccomp RuntimeDefault digunakan secara default. Beban kerja tertentu mungkin memerlukan batasan yang lebih sedikit pada panggilan sistem daripada beban kerja lainnya. Beban kerja ini mungkin gagal setelah fitur ini diaktifkan. Fitur ini dinonaktifkan untuk klaster ACK. Untuk informasi lebih lanjut, lihat Aktifkan penggunaan RuntimeDefault sebagai profil seccomp default untuk semua beban kerja.
Pembaruan fitur
Resource PSP sudah tidak digunakan lagi di Kubernetes 1.21 dan versi selanjutnya, dan akan dihapus di Kubernetes 1.25. Secara default, fitur kebijakan keamanan pod diaktifkan untuk klaster ACK. Anda dapat menggunakan kebijakan keamanan pod ACK sebagai alternatif untuk resource PSP di Kubernetes 1.22. Untuk informasi lebih lanjut, lihat Admisi keamanan pod dan Depresiasi PodSecurityPolicy: masa lalu, sekarang, dan masa depan.
Bidang topologyKeys sudah tidak digunakan lagi di Kubernetes 1.21 dan versi selanjutnya. Sebagai gantinya, fitur Topology Aware Hints digunakan untuk mengaktifkan fitur topologi Layanan. Secara default, fitur topologi Layanan dinonaktifkan untuk klaster ACK. Jika fitur topologi Layanan diaktifkan untuk klaster Kubernetes 1.22, Anda dapat mengaktifkan fitur Topology Aware Hints untuk mencapai efek yang sama dengan bidang topologyKeys. Untuk informasi lebih lanjut, lihat Topology Aware Hints.
Penyempurnaan untuk Kubernetes 1.22
Observabilitas
Lebih banyak metrik tentang akses dan permintaan ke server API Kubernetes ditambahkan. Ini meningkatkan observabilitas server API Kubernetes.
Metrik utama komponen bidang kontrol dapat dikumpulkan untuk klaster ACK Lingjun. Ini meningkatkan observabilitas komponen bidang kontrol.
Stabilitas
Penyempurnaan berikut disediakan untuk semua jenis klaster ACK:
Perlindungan untuk sumber daya penyimpanan ditingkatkan untuk mengurangi beban pada etcd selama cold start.
Throttling trafik dapat dilakukan pada server API Kubernetes berdasarkan kombinasi sumber, jenis, dan rute permintaan. Ini mengurangi beban pada etcd selama cold start.
Peningkatan performa
kubelet: Selama pembaruan in-place kubelet, sistem mencegah restart pod dengan upaya terbaik. Untuk informasi lebih lanjut, lihat Perhitungan kubelet tentang apakah sebuah kontainer telah berubah dapat menyebabkan pemadaman klaster-wide.
kube-proxy: kube-proxy kompatibel dengan Alibaba Cloud Linux 2 (kernel-4.19.91-23) dan versi selanjutnya. Saat mode IP Virtual Server (IPVS) diaktifkan, conn_reuse_mode tidak diatur ke 0. Untuk informasi lebih lanjut, lihat [ipvs] Atur conn_reuse_mode=1 pada versi kernel Linux >= v5.9.
Masalah yang diperbaiki
Masalah kebocoran EndpointSlice dalam skenario tertentu diperbaiki untuk kube-controller-manager. Untuk informasi lebih lanjut, lihat Memperbaiki cara EndpointSlice Mirroring menangani transisi pemilih Layanan.