CCE прошел программу Certified Kubernetes Conformance Program и является сертифицированным предложением Kubernetes. Этот раздел описывает обновления в CCE Kubernetes 1.23.
Изменения ресурсов и устаревание
Kubernetes v1.23 Примечания к выпуску
- FlexVolume устарел. Используйте CSI.
- HorizontalPodAutoscaler v2 переведён в GA, а HorizontalPodAutoscaler API v2 постепенно стабилен в версии 1.23. API HorizontalPodAutoscaler v2beta2 не рекомендуется. Используйте API v2.
- PodSecurity переводится в beta, заменяя устаревший PodSecurityPolicy. PodSecurity — это контроллер входа, который принуждает стандарты безопасности pod в пространстве имён на основе конкретных меток пространства имён, задающих уровень принудительного применения. PodSecurity включён по умолчанию в версии 1.23.
Kubernetes v1.22 Примечания к выпуску
- Ingresses более не поддерживают API networking.k8s.io/v1beta1 и extensions/v1beta1. Если вы используете API более ранней версии для управления Ingresses, приложение не может быть доступно внешним сервисам. Используйте networking.k8s.io/v1.
- CustomResourceDefinitions больше не поддерживают API apiextensions.k8s.io/v1beta1. Если вы используете API более ранней версии для создания CRD, создание завершится ошибкой, что повлияет на контроллер, согласующий этот CRD. Используйте apiextensions.k8s.io/v1.
- ClusterRoles, ClusterRoleBindings, Roles и RoleBindings больше не поддерживают API rbac.authorization.k8s.io/v1beta1. Если вы используете API более ранней версии для управления ресурсами RBAC, контроль разрешений приложений будет затронут и даже не сможет работать в кластере. Используйте rbac.authorization.k8s.io/v1.
- Цикл выпуска Kubernetes изменён с четырёх релизов в год до трёх релизов в год.
- Поддержка StatefulSets minReadySeconds.
- Во время масштабирования вниз pods случайным образом выбираются и удаляются на основе UID pod'а по умолчанию (LogarithmicScaleDown). Эта функция повышает случайность выбора pod'ов для удаления и уменьшает проблемы, вызванные ограничениями распределения топологии pod'ов. Для получения дополнительной информации см. KEP-2185 и проблема 96748.
- Это BoundServiceAccountTokenVolume функция стабильна, что изменило способ монтирования токенов в pods для повышения безопасности токенов учетной записи службы. Эта функция включена по умолчанию в кластерах Kubernetes версии v1.21 и более поздних.
Несовместимые изменения
В Kubernetes 1.23 поведение запуска kube-proxy изменилось. Если значение параметра ядра узла превышает значение по умолчанию, вычисленное kube-proxy, kube-proxy не будет переопределять его. Например, если у узла nf_conntrack_max установлен в 1000000 и kube-proxy вычисляет 131072, значение ядра 1000000 будет использоваться.
Community PR: https://github.com/kubernetes/kubernetes/pull/103174
Ссылки
Для получения более подробной информации о сравнении производительности и эволюции функций между Kubernetes 1.23 и другими версиями см. следующие документы: