Container Service for Kubernetes (ACK) secara ketat mematuhi ketentuan Program Sertifikasi Konformitas Kubernetes Bersertifikat. Topik ini menjelaskan perubahan yang dilakukan oleh ACK untuk mendukung Kubernetes 1.22.
Pembaruan Versi
Komponen diperbarui dan dioptimalkan oleh ACK untuk mendukung Kubernetes 1.22.
Komponen Utama | Versi | Deskripsi |
Kubernetes | 1.22.15-aliyun.1 |
|
etcd | 3.5.1 | Tidak ada |
CoreDNS | v1.9.3.6-32932850-aliyun | Pembaruan ini tidak memengaruhi beban kerja Anda. Fitur berikut disediakan:
|
CRI |
| Tidak ada |
containerd 1.4.8 | Tidak ada | |
CSI | 1.26 | Tidak ada |
CNI | Flannel 0.15.1.4-e02c8f12-aliyun | Pembaruan ini tidak memengaruhi beban kerja Anda. Fitur berikut disediakan:
|
Terway | Tidak ada | |
NVIDIA Container Runtime | 3.7.0 | Tidak ada |
Ingress Controller | 1.1.0-aliyun.1 | Pembaruan ini mungkin sementara mengganggu beban kerja Anda dan menyebabkan masalah kompatibilitas dengan konfigurasi beban kerja Anda. Kami sarankan Anda mengevaluasi dampak pembaruan komponen sebelum Anda memperbarui ke Kubernetes 1.22. |
Detail Versi
Perubahan dan Penghapusan Resource
[Perubahan Resource] Versi API
admissionregisration.k8s.io/v1beta1untuk resource MutatingWebhookConfiguration dan ValidatingWebhookConfiguration dihentikan. Konfigurasi admission webhook dan konfigurasi mutating webhook tidak dapat dibuat menggunakan versi API ini, yang memengaruhi penggunaan admission webhook dan mutating webhook. Anda dapat menggunakan versi APIadmissionregisration.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
apiextensions.k8s.io/v1beta1untuk resource CustomResourceDefinition (CRD) dihentikan. CRD tidak dapat dibuat menggunakan versi API ini, yang memengaruhi rekonsiliasi kontroler yang menggunakan CRD. Anda dapat menggunakan versi APIapiextensions.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
apiregistration.k8s.io/v1beta1untuk resource APIService dihentikan. API Kubernetes yang diperluas yang dikelola menggunakan versi API ini tidak dapat digunakan. Anda dapat menggunakan versi APIapiregistration.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
authentication.k8s.io/v1beta1untuk resource TokenReview dihentikan. TokenReviews yang dibuat menggunakan versi API ini tidak dapat digunakan untuk autentikasi, yang memengaruhi aplikasi Anda. Anda dapat menggunakan versi APIauthentication.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
authorization.k8s.io/v1beta1untuk resource SubjectAccessReview dihentikan. SubjectAccessReviews yang dibuat menggunakan versi API ini tidak dapat digunakan untuk otorisasi, yang memengaruhi aplikasi Anda. Anda dapat menggunakan versi APIauthorization.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
certificates.k8s.io/v1beta1untuk resource CertificateSigningRequest (CSR) dihentikan. CSR yang dibuat menggunakan versi API ini tidak dapat digunakan untuk mengajukan penandatanganan dan penerbitan sertifikat. Anda dapat menggunakan versi APIcertificates.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
coordination.k8s.io/v1beta1untuk resource Lease dihentikan. Lease yang dibuat menggunakan versi API ini tidak dapat digunakan untuk pemilihan pemimpin, yang memengaruhi aplikasi Anda. Anda dapat menggunakan versi APIcoordination.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
networking.k8s.io/v1beta1danextensions/v1beta1untuk resource Ingress dan IngressClass dihentikan. Ingress yang dibuat menggunakan versi API ini tidak dapat digunakan untuk mengekspos Layanan. Anda dapat menggunakan versi APInetworking.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
rbac.authorization.k8s.io/v1beta1untuk resource ClusterRole, ClusterRoleBinding, Role, dan RoleBinding dihentikan. Resource kontrol akses berbasis peran (RBAC) yang dikelola menggunakan versi API ini tidak dapat digunakan untuk memberikan izin mengelola aplikasi dan klaster. Anda dapat menggunakan versi APIrbac.authorization.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
storage.k8s.io/v1beta1untuk resource CSIDriver, CSINode, StorageClass, dan VolumeAttachment dihentikan. Jika Anda menggunakan versi API ini untuk mengelola resource yang terkait dengan Plugin Antarmuka Penyimpanan Kontainer (CSI), plugin CSI mungkin tidak berjalan dengan normal dan layanan penyimpanan di klaster Anda terpengaruh. Anda dapat menggunakanstorage.k8s.io/v1sebagai gantinya.[Perubahan Resource] Versi API
scheduling.k8s.io/v1beta1untuk resource PriorityClass dihentikan. PriorityClasses yang dikelola menggunakan versi API ini tidak dapat digunakan untuk mengonfigurasi prioritas pod. Anda dapat menggunakan versischeduling.k8s.io/v1sebagai gantinya.[Penghapusan Resource] Dockershim dihentikan dan akan dihapus di Kubernetes 1.24. Untuk informasi lebih lanjut, lihat EP-2221 dan cri-containerd.
Sebelum Anda memperbarui ke Kubernetes 1.24, kami sarankan Anda melakukan langkah-langkah berikut untuk memigrasikan beban kerja yang berjalan di kontainer Docker ke kontainer yang menjalankan runtime kontainer lainnya:
Tentukan spesifikasi node dan hitung jumlah node yang menjalankan runtime kontainer selain Docker berdasarkan jumlah kontainer Docker yang ada.
Tambahkan node baru ke klaster Anda selama jam-jam sepi.
Kuras node yang menjalankan runtime Docker satu per satu. Setiap kali sebuah node dikuras, verifikasi bahwa pod aplikasi pada node berhasil dimigrasikan ke node baru sebelum Anda menguras node lainnya.
Setelah semua node yang menjalankan runtime Docker dikuras dan tidak ada pod yang berjalan di node tersebut, hapus node tersebut.
[Penghapusan Resource] Pada Kubernetes 1.22.10 dan versi selanjutnya, kube-proxy tidak lagi mendengarkan port NodePort Services. Setelah pembaruan ini, koneksi TCP mungkin gagal sesekali jika range port NodePort Service (ditentukan oleh parameter ServiceNodePortRange server API) bertentangan dengan range port yang ditentukan oleh parameter kernel
net.ipv4.ip_local_port_range. Hal ini dapat menyebabkan kegagalan pemeriksaan kesehatan dan menyebabkan pengecualian layanan pada node. Sebelum Anda memperbarui versi Kubernetes klaster Anda ke 1.22.10 atau lebih baru, pastikan bahwa range port semua NodePort Services di klaster tidak bertentangan dengan range port yang ditentukan oleh parameter kernelnet.ipv4.ip_local_port_range. Untuk informasi lebih lanjut tentang cara mengonfigurasi range port NodePort Service, lihat Bagaimana cara mengonfigurasi range port node dengan benar? atau PR Komunitas Kubernetes.
Peningkatan Fitur
Secara default, fitur ImmutableEphemeralVolumes diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Anda dapat menggunakan fitur ini untuk mengatur ConfigMaps dan Secrets sebagai immutable, yang secara signifikan mengurangi beban pada server API Kubernetes klaster Anda. Untuk informasi lebih lanjut, lihat Secrets dan ConfigMaps.
Secara default, fitur IPv4/IPv6 dual stack (IPv6DualStack) diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Untuk menggunakan IPv4/IPv6 dual stack, Anda harus menentukan blok CIDR IPv4 dan blok CIDR IPv6 yang tepat saat Anda membuat klaster, dan menginstal Plugin Antarmuka Jaringan Kontainer (CNI) yang mendukung IPv4/IPv6 dual stack. Untuk informasi lebih lanjut, lihat IPv4/IPv6 dual stack.
Secara default, fitur GracefulNodeShutdown diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Setelah fitur ini diaktifkan, kubelet mengetahui peristiwa shutdown node yang akan terjadi dan dapat mengevakuasi pod pada node dalam periode shutdown tertentu. Untuk informasi lebih lanjut, lihat Graceful node shutdown.
Secara default, fitur EfficientWatchResumption diaktifkan di Kubernetes 1.21 dan versi selanjutnya. Fitur ini dapat melanjutkan cache watch server API Kubernetes dengan cara yang efisien setelah server API di-restart. Fitur ini cocok untuk klaster berskala besar. Untuk informasi lebih lanjut, lihat KEP-1904.
Secara default, fitur CSIStorageCapacity diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan kube-scheduler menjadwalkan pod ke node yang kapasitas penyimpanannya cukup untuk membuat volume yang digunakan oleh pod. Untuk informasi lebih lanjut, lihat Kapasitas Penyimpanan.
Secara default, fitur DaemonSetUpdateSurge diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menggunakan bidang
.spec.strategy.rollingUpdate.maxSurgeuntuk menentukan persentase pod yang dapat dibuat di atas jumlah pod yang diharapkan selama pembaruan bergulir pada DaemonSet. Untuk informasi lebih lanjut, lihat Melakukan Pembaruan Bergulir pada DaemonSet.Secara default, fitur IndexedJob diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda membuat Job terindeks dengan mengatur .spec.completionMode ke Indexed dalam konfigurasi Job. Dengan cara ini, anotasi batch.kubernetes.io/job-completion-index dan variabel lingkungan JOB_COMPLETION_INDEX ditambahkan ke setiap pod yang dibuat oleh Job. Untuk informasi lebih lanjut, lihat Kubernetes.
Secara default, fitur MemoryManager diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Anda dapat menggunakan fitur ini untuk mengaktifkan manajemen memori berbasis NUMA (Non-Uniform Memory Access). Fitur ini cocok untuk aplikasi yang memerlukan jaminan sumber daya memori untuk meningkatkan kinerja aplikasi secara signifikan. ACK tidak mengonfigurasi reservasi memori untuk fitur ini. Untuk informasi lebih lanjut, lihat Peta Memori Saat Runtime dan Manfaatkan Manajer Memori Berbasis NUMA.
Secara default, fitur PodAffinityNamespaceSelector diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menerapkan pemilih label pengaturan afinitas pod di seluruh namespace alih-alih dalam namespace yang sama. Hal ini mengoptimalkan penjadwalan pod berdasarkan afinitas. Untuk informasi lebih lanjut, lihat KEP-2249.
Secara default, fitur PodDeletionCost diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Setelah fitur ini diaktifkan, pod dengan pemanfaatan sumber daya yang lebih rendah memiliki biaya penghapusan pod yang lebih rendah. Untuk informasi lebih lanjut, lihat ReplicaSet.
Secara default, PreferNominatedNode diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Setelah fitur ini diaktifkan, kube-scheduler lebih memilih menjadwalkan pod ke node yang dinominasikan. kube-scheduler hanya mengevaluasi node lain jika semua node yang dinominasikan gagal mencocokkan pod. Untuk informasi lebih lanjut, lihat KEP-1923.
Fitur ProbeTerminationGracePeriod diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung liveness probe. Fitur ini memungkinkan Anda mengatur bidang teminationGracePeriodSeconds tingkat probe atau pod untuk mempersingkat periode waktu yang harus ditunggu pod sebelum restart setelah pod gagal dalam liveness probe. Untuk informasi lebih lanjut, lihat Konfigurasikan liveness, readiness, dan startup probes.
Secara default, fitur NetworkPolicyEndPort diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menentukan range port dalam NetworkPolicy. Untuk informasi lebih lanjut, lihat Kebijakan Jaringan.
Secara default, fitur LogarithmicScaleDown diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memberikan pendekatan acak untuk menskalakan pod dan dengan demikian mengurangi dampak masalah yang disebabkan oleh kendala penyebaran topologi pod. Untuk informasi lebih lanjut, lihat Kendala penyebaran topologi pod harus diperhitungkan saat penurunan skala dan KEP-2185.
Secara default, fitur SuspendJob diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan pengguna mengelola siklus hidup Job dengan cara yang lebih efisien. Misalnya, Anda dapat menggunakan fitur ini untuk menangguhkan dan melanjutkan Job. Untuk informasi lebih lanjut, lihat Perkenalkan Job yang Ditangguhkan.
Secara default, fitur ServiceInternalTrafficPolicy diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Anda dapat menggunakan fitur ini untuk merutekan trafik internal ke endpoint node-lokal yang siap atau semua endpoint yang siap di klaster. Untuk informasi lebih lanjut, lihat Layanan.
Secara default, fitur ServiceLoadBalancerClass diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Anda dapat menggunakan fitur ini untuk menyesuaikan load balancing. Untuk informasi lebih lanjut, lihat Tentukan kelas implementasi load balancer.
Secara default, fitur ServiceLBNodePortControl diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menonaktifkan alokasi port node untuk Layanan LoadBalancer dengan mengatur .spec.allocateLoadBalancerNodePorts ke false dalam konfigurasi Layanan. Dengan cara ini, Layanan merutekan trafik langsung ke pod. Untuk informasi lebih lanjut, lihat Nonaktifkan alokasi NodePort load balancer.
Secara default, fitur SizeMemoryBackedVolumes diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Anda dapat menggunakan fitur ini untuk menentukan ukuran volume emptyDir berbasis memori dengan mengatur bidang emptyDir.sizeLimit. Ini meningkatkan observabilitas penjadwalan pod. Untuk informasi lebih lanjut, lihat KEP-1967.
Secara default, fitur Server-side Apply diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda melacak perubahan pada bidang konfigurasi resource. Anda dapat melacak informasi tentang perubahan tersebut, seperti sumber, waktu, dan operasi. Untuk informasi lebih lanjut, lihat Server-side apply.
Fitur integrasi plugin CSI dengan kontainer Windows distabilkan di Kubernetes 1.22 dan versi selanjutnya. Fitur ini memungkinkan Anda menggunakan CSI Proxy untuk melakukan operasi penyimpanan pada host yang sistem operasinya tidak mendukung kontainer istimewa, seperti Windows Server 2019 dan Windows Server versi 2004. Untuk menggunakan fitur ini, pastikan bahwa plugin CSI yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat CSI Proxy.
Secara default, fitur CSRDuration diaktifkan di Kubernetes 1.22 dan versi selanjutnya. Setelah fitur ini diaktifkan, masa berlaku sertifikat yang akan ditandatangani dan diterbitkan diatur ke nilai yang lebih kecil antara nilai .spec.expirationSeconds dalam CSR dan nilai
--cluster-signing-durationdalam konfigurasi kube-controller-manager. Di klaster ACK, nilai default --cluster-signing-duration dalam konfigurasi kube-controller-manager adalah 10 tahun. Untuk informasi lebih lanjut, lihat Penandatangan.Pada Kubernetes 1.22 dan versi selanjutnya, gerbang fitur BoundServiceAccountTokenVolume mencapai General Availability (GA). Ketika gerbang fitur ini diaktifkan, masa berlaku token akun layanan default yang tidak dipasang sebagai volume proyeksi ke pod adalah satu tahun. Untuk informasi lebih lanjut, lihat Detail Fitur.
Fitur Baru
Fitur pemantauan kesehatan volume didukung di Kubernetes 1.21 dan versi selanjutnya. Fitur ini membantu mendeteksi status kesehatan volume persisten (PV) yang diatur menggunakan plugin CSI. Ini mencegah data dibaca dari atau ditulis ke PV yang tidak sehat. Secara default, fitur ini diaktifkan untuk klaster ACK yang menggunakan plugin CSI. Untuk menggunakan fitur ini, pastikan bahwa plugin CSI yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat Pemantauan Kesehatan Volume.
Fitur Quality of Service (QoS) memori yang dikembangkan berdasarkan cgroups v2 didukung di Kubernetes 1.22 dan versi selanjutnya. Dalam skenario di mana sumber daya komputasi tidak mencukupi, seperti skenario di mana terjadi lonjakan permintaan sumber daya, throttling CPU dilakukan untuk memastikan ketersediaan sumber daya CPU. Namun, throttling memori tidak didukung. Untuk mendukung throttling memori, kernel Linux open source mengoptimalkan antarmuka tertentu dalam cgroups v2. Secara default, fitur QoS memori diaktifkan untuk klaster ACK. Fitur ini hanya mendukung node Linux. Untuk menggunakan fitur ini, pastikan bahwa kernel OS node Linux yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat Fitur Memcg QoS dari antarmuka cgroup v1 dan 2570-memory-qos.
Kontainer istimewa Windows dapat dibuat dari kontainer HostProcess di Kubernetes 1.22 dan versi selanjutnya. Secara default, fitur kontainer HostProcess Windows diaktifkan untuk klaster ACK. Untuk menggunakan fitur ini, pastikan bahwa kernel OS node yang Anda gunakan mendukung fitur ini. Untuk informasi lebih lanjut, lihat Apa yang baru untuk kontainer Windows pada Windows Server 2022 dan Buat Pod HostProcess Windows.
Fitur memori swap didukung untuk beban kerja di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Untuk skenario di mana fitur memori swap diperlukan, Anda dapat menggunakan fitur memori swap untuk meningkatkan kinerja aplikasi Anda. Misalnya, administrator node ingin meningkatkan kinerja node atau mengurangi masalah stabilitas yang disebabkan oleh persaingan memori. Fitur memori swap dinonaktifkan untuk klaster ACK. Untuk informasi lebih lanjut, lihat Manajemen Memori Swap dan KEP-2400.
Profil seccomp default dikonfigurasikan untuk beban kerja di Kubernetes 1.22 dan versi selanjutnya. Fitur ini hanya mendukung node Linux. Setelah fitur ini diaktifkan, profil seccomp RuntimeDefault digunakan secara default. Beban kerja tertentu mungkin memerlukan batasan yang lebih sedikit pada panggilan sistem daripada beban kerja lainnya. Beban kerja ini mungkin gagal setelah fitur ini diaktifkan. Fitur ini dinonaktifkan untuk klaster ACK. Untuk informasi lebih lanjut, lihat Aktifkan penggunaan RuntimeDefault sebagai profil seccomp default untuk semua beban kerja.
Pembaruan Fitur
Resource PSP dihentikan di Kubernetes 1.21 dan versi selanjutnya, dan akan dihapus di Kubernetes 1.25. Secara default, fitur kebijakan keamanan pod diaktifkan untuk klaster ACK. Anda dapat menggunakan kebijakan keamanan pod ACK sebagai alternatif untuk resource PSP di Kubernetes 1.22. Untuk informasi lebih lanjut, lihat Admisi Keamanan Pod dan Depresiasi PodSecurityPolicy: masa lalu, sekarang, dan masa depan.
Bidang topologyKeys dihentikan di Kubernetes 1.21 dan versi selanjutnya. Sebagai gantinya, fitur Topology Aware Hints digunakan untuk mengaktifkan fitur topologi layanan. Secara default, fitur topologi layanan dinonaktifkan untuk klaster ACK. Jika fitur topologi layanan diaktifkan untuk klaster Kubernetes 1.22, Anda dapat mengaktifkan fitur Topology Aware Hints untuk mencapai efek yang sama dengan bidang topologyKeys. Untuk informasi lebih lanjut, lihat Topology Aware Hints.
Peningkatan pada Kubernetes 1.22
Observabilitas
Lebih banyak metrik tentang akses dan permintaan ke server API Kubernetes ditambahkan. Ini meningkatkan observabilitas server API Kubernetes.
Metrik utama komponen bidang kontrol dapat dikumpulkan untuk klaster ACK Pro, klaster ACK Serverless Pro, dan klaster ACK Edge Pro. Ini meningkatkan observabilitas komponen bidang kontrol.
Stabilitas
Peningkatan berikut disediakan untuk semua jenis klaster ACK:
Perlindungan untuk sumber daya penyimpanan ditingkatkan untuk mengurangi beban pada etcd selama cold start.
Throttling trafik dapat dilakukan pada server API Kubernetes berdasarkan kombinasi sumber, jenis, dan rute permintaan. Ini mengurangi beban pada etcd selama cold start.
Peningkatan Kinerja
kubelet: Selama pembaruan in-place kubelet, sistem mencegah restart pod dengan upaya terbaik. Untuk informasi lebih lanjut, lihat Perhitungan kubelet tentang apakah sebuah kontainer telah berubah dapat menyebabkan pemadaman klaster-wide.
kube-proxy: kube-proxy kompatibel dengan Alibaba Cloud Linux 2 (kernel-4.19.91-23) dan versi selanjutnya. Saat mode IP Virtual Server (IPVS) diaktifkan, conn_reuse_mode tidak diatur ke 0. Untuk informasi lebih lanjut, lihat [ipvs] Atur conn_reuse_mode=1 pada versi kernel Linux >= v5.9.
Klaster ACK Serverless: Klaster ACK Serverless tidak secara proaktif menyingkirkan pod berbasis Elastic Container Instance jika node virtual tidak siap. Ini mengurangi kerugian bisnis.
ACK Pro dan ACK Edge Pro klaster: Scheduler dioptimalkan. Fitur penjadwalan ditingkatkan, termasuk penjadwalan gang, penjadwalan CPU berbasis topologi, dan penjadwalan GPU berbasis topologi. Untuk informasi lebih lanjut, lihat Gambaran Umum Klaster ACK Pro.
Masalah yang Diperbaiki
Masalah kebocoran EndpointSlice dalam skenario tertentu diperbaiki untuk kube-controller-manager. Untuk informasi lebih lanjut, lihat Memperbaiki cara EndpointSlice Mirroring menangani transisi pemilih Layanan.