Alibaba Cloud Container Service for Kubernetes (ACK) telah tersertifikasi sebagai Kubernetes conformant. Dokumen ini menjelaskan perubahan utama, pembaruan fitur, dan penghapusan fitur untuk Kubernetes 1.36 di ACK, serta pemberitahuan peningkatan dan versi komponen.
Versi komponen
Tabel berikut mencantumkan versi komponen inti dalam kluster ACK.
Core component | Version |
Kubernetes | 1.36.1-aliyun.1 |
etcd | v3.6.10 |
containerd | 2.1.6 |
CoreDNS | v1.12.1.3 |
CSI | |
CNI | Flannel v0.28.0.6 |
Terway and TerwayControlplane v1.15.0 atau yang lebih baru |
Perubahan utama
Pada Kubernetes 1.36, bidang
.spec.externalIPsuntuk Services telah ditinggalkan dan dijadwalkan untuk dihapus pada v1.43. Bidang ini merupakan kerentanan keamanan yang telah lama diketahui karena membuka lalu lintas klaster terhadap serangan man-in-the-middle, sebagaimana didokumentasikan dalam CVE-2020-8554. Jika Anda menggunakan bidang ini, segera migrasikan ke alternatif lain.Untuk kluster baru yang menjalankan Kubernetes 1.36, versi default komponen Gateway API berubah dari 1.3.0 menjadi 1.5.1. Karena Gateway API 1.5.1 menghentikan versi v1alpha2 dari API TLSRoute, instans Alibaba Cloud Service Mesh (ASM) versi v1.25 dan sebelumnya serta versi Istio sebelum 1.29.2 tidak kompatibel.
Saat Anda meningkatkan kluster yang sudah ada ke Kubernetes 1.36, komponen Gateway API tidak ditingkatkan secara otomatis. Untuk meningkatkan komponen tersebut secara manual, lihat Gateway API.
Pembaruan fitur
Fitur VolumeGroupSnapshot kini tersedia secara umum (Generally Available/GA). Fitur ini memungkinkan Anda membuat snapshot konsisten di beberapa Persistent Volume Claim secara bersamaan, sehingga mengurangi risiko ketidakkonsistenan data akibat snapshot asinkron.
Fitur Mutable CSINode allocatable kini GA. Fitur ini memungkinkan driver CSI memperbarui secara dinamis jumlah volume yang dapat disambungkan ke suatu node, mencegah ketidakakuratan penjadwalan atau kegagalan penyambungan akibat batas lampiran volume yang sudah usang.
Fitur-fitur utama Dynamic Resource Allocation (DRA) kini GA, termasuk akses admin DRA dan daftar prioritas. Fitur-fitur ini menyediakan fondasi API jangka panjang yang stabil untuk manajemen sumber daya perangkat keras global serta logika pemilihan sumber daya yang konsisten dan dapat diprediksi. Selain itu, beberapa fitur yang sangat dinantikan telah naik ke status Beta. Untuk informasi lebih lanjut, lihat Pembaruan DRA Kubernetes 1.36.
MutatingAdmissionPolicies kini GA. Fitur ini memungkinkan administrator menetapkan aturan mutasi resource langsung di API server dengan menggunakan Common Expression Language (CEL), menyediakan alternatif native terhadap webhook admission tradisional dalam banyak skenario. Hal ini mengurangi beban jaringan dan operasional sekaligus memastikan perilaku klaster yang lebih dapat diprediksi.
Fitur UserNamespacesSupport kini GA. Fitur ini diaktifkan secara default dan memungkinkan Pod menggunakan namespace pengguna Linux untuk meningkatkan keamanan. Perubahan ini tidak memengaruhi Pod yang sudah ada. Anda dapat menentukan secara manual
pod.spec.hostUsersuntuk mengaktifkan atau menonaktifkan fitur ini.KubeletPSI naik ke status Beta. Fitur ini memungkinkan kubelet mengekspos metrik Pressure Stall Information (PSI) melalui Summary API dan metrik Prometheus.
Rilis ini memperkenalkan mitigasi kepunahan data (staleness mitigation) untuk controller. Peningkatan ini mencegah operasi salah yang dapat terjadi ketika controller bertindak berdasarkan data cache yang sudah usang.
Fitur StrictIPCIDRValidation naik ke status Beta. Fitur ini memperkuat validasi untuk bidang IP dan CIDR di API, memungkinkan deteksi lebih awal terhadap alamat dan segmen jaringan yang tidak valid. Hal ini membantu mencegah masalah konfigurasi halus atau risiko keamanan pada resource seperti Services, Pods, dan NetworkPolicies yang disebabkan oleh alamat IP atau CIDR yang tidak valid.
MutablePodResourcesForSuspendedJobs naik ke status Beta dan diaktifkan secara default. Fitur ini memungkinkan Anda mengubah permintaan dan batas sumber daya CPU, memori, GPU, serta sumber daya ekstensi suatu kontainer saat Job-nya dalam keadaan suspended.
ConstrainedImpersonation, yang naik ke status Beta, menyelaraskan mekanisme impersonasi pengguna dengan prinsip hak istimewa minimal. Saat diaktifkan, pihak yang melakukan impersonasi harus memiliki izin baik untuk melakukan impersonasi terhadap identitas tertentu maupun untuk menjalankan aksi yang dimaksudkan sebagai identitas tersebut.
ComponentStatusz naik ke status Beta dan diaktifkan secara default. Fitur ini menyediakan titik akhir
/statuszuntuk komponen inti Kubernetes guna menampilkan informasi build dan versi secara real-time, seperti waktu startup, uptime, versi Go, versi biner, dan versi kompatibilitas, sehingga membantu operator dan pengembang memahami status berjalan saat ini dengan cepat.ComponentFlagz naik ke status Beta dan diaktifkan secara default. Fitur ini menyediakan titik akhir terpadu
/flagzuntuk komponen inti Kubernetes yang menampilkan parameter command-line yang aktif saat startup, membantu operator dan pengembang memecahkan masalah konfigurasi atau memverifikasi bahwa perubahan parameter telah diterapkan setelah restart.
Penghapusan fitur
Pada Kubernetes 1.36, bidang
.spec.externalIPsuntuk Services telah ditinggalkan dan dijadwalkan untuk dihapus pada v1.43. Jika Anda menggunakan bidang ini, segera migrasikan ke alternatif lain.Mulai Kubernetes 1.36, plugin volume gitrepo dinonaktifkan secara permanen. Kami merekomendasikan penggunaan alternatif seperti init container atau tool git-sync eksternal.
Referensi
Untuk changelog lengkap Kubernetes 1.36, lihat CHANGELOG-1.36 dan Kubernetes v1.36: ハル (Haru).