摘要：今年月份我們迎來了的驚喜發(fā)布，一大波新功能讓人眼花繚亂。為了提供安全保障，集群不會強行刪除未響應(yīng)節(jié)點上的，如果用戶通過強行刪除會收到警告。已知問題已知問題及限制。你不需要調(diào)整的該參數(shù)的沒有授權(quán)。

今年9月份我們迎來了Kubernetes 1.4的驚喜發(fā)布，一大波新功能讓人眼花繚亂。經(jīng)過將近三個月時間的打磨，如今Kubernetes再推出新版本，翹首以盼的Kubernetes 1.5重磅發(fā)布，本次版本更新涵蓋了4個主題、12個新特性以及4個原有基礎(chǔ)上的重大變更。期待不如眼疾手快，翻閱文章內(nèi)容，享受一場Kubernetes 1.5的饕餮大餐吧~

1、StatefulSets (原名PetSets)

StatefulSets 現(xiàn)在是 beta 版 (主要是修復(fù)和穩(wěn)定性)

2、改善聯(lián)邦支持

新命令：kubefed

DaemonSets

部署

Configmaps

3、簡化集群部署

改進kubeadm

Master的HA設(shè)置

4、節(jié)點魯棒性及可擴展性

支持Windows Service容器

實現(xiàn)了CRI（容器運行時接口）

添加kubelet API調(diào)用時身份驗證和授權(quán)

1、API 機制

[beta] kube-apiserver支持OpenAPI從alpha移動到beta, 第一個non-go客戶端是基于此特性。

2、應(yīng)用

[Stable]當(dāng)replica sets不能創(chuàng)建Pods時，它們將通過API報告失敗的詳細底層原因。

[Stable] kubectl apply現(xiàn)可通過--prune刪除不再需要的資源

[beta] Deployments現(xiàn)可通過API升級到新版本，而之前是無法通過滾動來進行升級的

[beta] StatefulSets允許要求持久化identity或單實例存儲的工作負(fù)載從而在Kubernetes創(chuàng)建和管理。

[beta]為了提供安全保障，集群不會強行刪除未響應(yīng)節(jié)點上的Pods，如果用戶通過CLI強行刪除Pods會收到警告。

3、認(rèn)證

[Alpha]改進了基于角色的訪問控制alpha API。（包括一組默認(rèn)的集群角色）

[Beta]添加了對Kubelet API訪問的認(rèn)證/授權(quán)機制。

4、AWS

[stable]角色出現(xiàn)在kubectl get nodes的結(jié)果里。

5、集群生命周期

[alpha] 提升了kubeadm二進制包的交互和可用性，從而更易于新建一個運行集群。

6、集群運維

[alpha] 在GCE上使用kube-up/kube-down腳本來創(chuàng)建/移除集群高可用（復(fù)制）的主節(jié)點。

7、聯(lián)邦

[beta] 支持聯(lián)邦ConfigMaps。

[alpha] 支持聯(lián)邦Daemonsets。

[alpha] 支持聯(lián)邦Deployments。

[alpha]集群聯(lián)邦：為聯(lián)邦資源添加對于DeleteOptions.OrphanDependents的支持。

[alpha]引入新命令行工具：kubefed，簡化聯(lián)邦控制臺的部署以及集群注冊/注銷體驗。

8、網(wǎng)絡(luò)

[stable]服務(wù)可以通過DNS名稱被其他服務(wù)引用，而不是只有在pods里才可以。

[beta]為NodePort類型和LoadBalancer的服務(wù)保留源IP的選項。

[stable]啟用beta ConfigMap參數(shù)支持的DNS水平自動伸縮

9、節(jié)點

[alpha]支持在容器運行時啟用用戶命名空間重映射的時候，保留對宿主用戶命名空間的訪問。

[alpha]引入了v1alpha1版本的CRI(容器運行時接口) API，它允許可插拔的容器運行時；現(xiàn)有一個已經(jīng)就緒的用于測試和反饋的docker-CRI集成。

[alpha]Kubelet基于QoS層在每個Pod的CGroup層級里啟動容器。

[beta]Kubelet集成了memcg提示消息API，來檢測是否超過閾值。

[beta]引入了Beta版本的容器化節(jié)點一致性測試: gcr.io/google_containers/node-test:0.2。從而讓用戶驗證node設(shè)置。

10、調(diào)度

[alpha]添加了對不透明整數(shù)資源(node級)的審計支持。

[beta] PodDisruptionBudget已經(jīng)升級到Beta版，當(dāng)想要應(yīng)用SLO時，可以用來安全地drain節(jié)點。

11、UI

[stable]Dashboard UI如今顯示面向用戶的對象及它們的資源使用情況。

12、Windows

[alpha]添加了對Windows Server 2016節(jié)點和調(diào)度Windows Server Container的支持。

已知問題

CRI已知問題及限制。

當(dāng)volume路徑包含空格時，DeviceNameFromMount()函數(shù)不能正確的返回volume路徑。

聯(lián)邦alpha版的特性不具有特征定義，因此默認(rèn)啟用，在未來的版本中將修復(fù)這一問題。

聯(lián)邦控制面板可通過更新控制面板組件Deployment規(guī)格的鏡像字段來進行升級，然而在該版本中聯(lián)邦控制面板升級尚未進行測試。

1、節(jié)點控制器不再強行刪除來源于apiServer的pods

對于有狀態(tài)的應(yīng)用StatefulSet(原名為 PetSet)而言，這個改動意味著創(chuàng)建替換的Pods被阻塞，直到舊的Pods確定不再運行(意味著kubelet從分區(qū)返回，Node對象的刪除，云服務(wù)商里實例的刪除，或強行刪除api-Server里的Pod)。這里通過確保不可達的Pod不會被認(rèn)為已經(jīng)死亡來防止集群應(yīng)用出現(xiàn)“腦裂”的狀況，除非一些“包圍”操作提供了上述之一的情況。

對于其他現(xiàn)有的除StatefulSet外的控制器，這對于控制器替換Pods沒有影響，因為控制器不會重用Pods名稱(他們使用generate-name)

用戶編寫的控制器會重用Pod對象的名稱，應(yīng)該考慮這個變化。

當(dāng)使用kubectl delete ... --grace-period=0 刪除一個對象時，客戶端將開始進行優(yōu)雅的刪除并等待，直到資源完全被刪除。要立即強制刪除，使用--force 標(biāo)志。這可以防止用戶不小心讓兩個Stateful Set共享可能導(dǎo)致數(shù)據(jù)損壞的相同的持久存儲。

2、允許匿名API服務(wù)器的訪問，通過授權(quán)組系統(tǒng)設(shè)置認(rèn)證的用戶

kube-apiserver添加了--anonymous-auth 標(biāo)志，默認(rèn)為true。當(dāng)它啟用時，訪問安全端口的請求不會被其他配置的認(rèn)證方法所拒絕，這些請求被當(dāng)做匿名請求，并且用戶名為system:anonymous，組織為system:unauthenticated。
認(rèn)證的用戶被設(shè)為system:authenticated組。

3、即使路徑是用于類型的有效字段，如果路徑在json文件下不提供字段，kubectl get -o jsonpath=... 將拋出一個錯誤。這個改變從pre-1.5版本開始，即使他們目前不在 json文件下，也會返回一些字段的默認(rèn)值。

4、對于VolumeMounts的strategicmerge patchMergeKey是由“名稱”到“mountPath”的改變。這是必要的，因為名稱字段引用Volume的名稱，并且不是VolumeMount的唯一鍵。如果安裝多個相同的volume，多個VolumeMounts將有同樣的 Volume名稱。“mountPath”是獨一無二的，并可以作為mergekey。

1、升級前重要的安全相關(guān)改變

必須在kube-apiserver設(shè)置--anonymous-auth=false參數(shù)，除非你是一個測試該功能的開發(fā)者并且了解它。如果不這樣，你會允許未經(jīng)授權(quán)的用戶訪問你的apiserver。

必須在聯(lián)邦apiserver設(shè)置--anonymous-auth=false參數(shù)，除非你是一個測試該功能的開發(fā)者并且了解它。如果不這樣，你會允許未經(jīng)授權(quán)的用戶訪問你的聯(lián)邦apiserver。你不需要調(diào)整kublete的該參數(shù)：1.4的Kubelet APIs沒有授權(quán)。

2、batch/v2alpha1.ScheduledJob被重命名為batch/v2alpha1.CronJob。

3、PetSet被重命名為StatefulSet。如果你現(xiàn)在有PetSets，你要在升級為StatefulSets前后進行一些額外的遷移操作。

4、如果你從v1.4.x升級你的集群聯(lián)邦組件，請更新你的federation-apiserver和federation-controller-manager到新版本。

5、廢棄的kubelet --configure-cbr0參數(shù)被移除。經(jīng)典的網(wǎng)絡(luò)模式也是。如果你依賴于此模式，請調(diào)研其他的網(wǎng)絡(luò)插件kubenet或cni是否滿足需求。

6、新的client-go結(jié)構(gòu)，參考kubernetes/client-go進行版本控制策略。

7、廢棄的kube-scheduler --bind-pods-qps和--bind-pods burst參數(shù)被移除，替換為--kube-api-qps和--kube-api-burst。

8、如果你需要使用1.4的特性:PodDisruptionBudget(例如創(chuàng)建了PodDisruptionBudget對象)，那么在從1.4升級為1.5之前，你一定要刪除所有創(chuàng)建的PodDisruptionBudget對象(policy/v1alpha1/PodDisruptionBudget)。升級之后不可能刪除這些對象。它們的存在也會妨礙你使用1.5里Beta版的PodDisruptionBudget特性(policy/v1beta1/PodDisruptionBudget)。如果你已經(jīng)進行了升級，那么你需要降級到1.4來刪除這些policy/v1alpha1/PodDisruptionBudget對象。

tips：查看更多精彩內(nèi)容？關(guān)注公眾號：tenxcloud2(時速云訂閱號)，我們后續(xù)還會發(fā)布kubernetes 1.5相關(guān)文章，大家持續(xù)關(guān)注哦~