先睹为快 ▏Kubernetes 1.5 有哪些你不得不知的新功能？

今年 9 月份我们迎来了 Kubernetes 1.4 的惊喜发布，一大波新功能让人眼花缭乱。经过将近三个月时间的打磨，如今 Kubernetes 再推出新版本，翘首以盼的 Kubernetes 1.5 重磅发布，本次版本更新涵盖了4 个主题、 12 个新特性以及 4 个原有基础上的重大变更。期待不如眼疾手快，翻阅文章内容，享受一场 Kubernetes 1.5 的饕餮大餐吧~

主题简介：

1 、 StatefulSets (原名 PetSets)

• StatefulSets 现在是 beta 版 (主要是修复和稳定性)

2 、改善联邦支持

• 新命令： kubefed
• DaemonSets
• 部署
• Configmaps

3 、简化集群部署

• 改进 kubeadm
• Master 的 HA 设置

4 、节点鲁棒性及可扩展性

• 支持 Windows Service 容器
• 实现了 CRI （容器运行时接口）
• 添加 kubelet API 调用时身份验证和授权

新特性简介：

1 、 API 机制

• [beta] kube-apiserver 支持 OpenAPI 从 alpha 移动到 beta, 第一个 non-go 客户端是基于此特性。

2 、应用

• [Stable]当 replica sets 不能创建 Pods 时，它们将通过 API 报告失败的详细底层原因。
• [Stable] kubectl apply 现可通过--prune 删除不再需要的资源
• [beta] Deployments 现可通过 API 升级到新版本，而之前是无法通过滚动来进行升级的
• [beta] StatefulSets 允许要求持久化 identity 或单实例存储的工作负载从而在 Kubernetes 创建和管理。
• [beta]为了提供安全保障，集群不会强行删除未响应节点上的 Pods ，如果用户通过 CLI 强行删除 Pods 会收到警告。

3 、认证

• [Alpha]改进了基于角色的访问控制 alpha API 。（包括一组默认的集群角色）
• [Beta]添加了对 Kubelet API 访问的认证 /授权机制。

4 、 AWS

• [stable]角色出现在 kubectl get nodes 的结果里。

5 、集群生命周期

• [alpha] 提升了 kubeadm 二进制包的交互和可用性，从而更易于新建一个运行集群。

6 、集群运维

• [alpha] 在 GCE 上使用 kube-up/kube-down 脚本来创建 /移除集群高可用（复制）的主节点。

7 、联邦

• [beta] 支持联邦 ConfigMaps 。
• [alpha] 支持联邦 Daemonsets 。
• [alpha] 支持联邦 Deployments 。
• [alpha]集群联邦：为联邦资源添加对于 DeleteOptions.OrphanDependents 的支持。
• [alpha]引入新命令行工具： kubefed ，简化联邦控制台的部署以及集群注册 /注销体验。

8 、网络

• [stable]服务可以通过 DNS 名称被其他服务引用，而不是只有在 pods 里才可以。
• [beta]为 NodePort 类型和 LoadBalancer 的服务保留源 IP 的选项。
• [stable]启用 beta ConfigMap 参数支持的 DNS 水平自动伸缩

9 、节点

• [alpha]支持在容器运行时启用用户命名空间重映射的时候，保留对宿主用户命名空间的访问。
• [alpha]引入了 v1alpha1 版本的 CRI(容器运行时接口) API ，它允许可插拔的容器运行时；现有一个已经就绪的用于测试和反馈的 docker-CRI 集成。
• [alpha]Kubelet 基于 QoS 层在每个 Pod 的 CGroup 层级里启动容器。
• [beta]Kubelet 集成了 memcg 提示消息 API ，来检测是否超过阈值。
• [beta]引入了 Beta 版本的容器化节点一致性测试: gcr.io/google_containers/node-test:0.2 。从而让用户验证 node 设置。

10 、调度

• [alpha]添加了对不透明整数资源(node 级)的审计支持。
• [beta] PodDisruptionBudget 已经升级到 Beta 版，当想要应用 SLO 时，可以用来安全地 drain 节点。

11 、 UI

• [stable]Dashboard UI 如今显示面向用户的对象及它们的资源使用情况。

12 、 Windows

• [alpha]添加了对 Windows Server 2016 节点和调度 Windows Server Container 的支持。

已知问题

• CRI 已知问题及限制。
• 当 volume 路径包含空格时， DeviceNameFromMount()函数不能正确的返回 volume 路径。
• 联邦 alpha 版的特性不具有特征定义，因此默认启用，在未来的版本中将修复这一问题。
• 联邦控制面板可通过更新控制面板组件 Deployment 规格的镜像字段来进行升级，然而在该版本中联邦控制面板升级尚未进行测试。

重大改变

1 、节点控制器不再强行删除来源于 apiServer 的 pods

• 对于有状态的应用 StatefulSet(原名为 PetSet)而言，这个改动意味着创建替换的 Pods 被阻塞，直到旧的 Pods 确定不再运行(意味着 kubelet 从分区返回， Node 对象的删除，云服务商里实例的删除，或强行删除 api-Server 里的 Pod)。这里通过确保不可达的 Pod 不会被认为已经死亡来防止集群应用出现“脑裂”的状况，除非一些“包围”操作提供了上述之一的情况。

• 对于其他现有的除 StatefulSet 外的控制器，这对于控制器替换 Pods 没有影响，因为控制器不会重用 Pods 名称(他们使用 generate-name)

• 用户编写的控制器会重用 Pod 对象的名称，应该考虑这个变化。

• 当使用 kubectl delete ... --grace-period=0 删除一个对象时，客户端将开始进行优雅的删除并等待，直到资源完全被删除。要立即强制删除，使用--force 标志。这可以防止用户不小心让两个 Stateful Set 共享可能导致数据损坏的相同的持久存储。

2 、允许匿名 API 服务器的访问，通过授权组系统设置认证的用户

• kube-apiserver 添加了--anonymous-auth 标志，默认为 true 。当它启用时，访问安全端口的请求不会被其他配置的认证方法所拒绝，这些请求被当做匿名请求，并且用户名为 system:anonymous ，组织为 system:unauthenticated 。 认证的用户被设为 system:authenticated 组。

3 、即使路径是用于类型的有效字段，如果路径在 json 文件下不提供字段， kubectl get -o jsonpath=... 将抛出一个错误。这个改变从 pre-1.5 版本开始，即使他们目前不在 json 文件下，也会返回一些字段的默认值。

4 、对于 VolumeMounts 的 strategicmerge patchMergeKey 是由“名称”到“ mountPath ”的改变。这是必要的，因为名称字段引用 Volume 的名称，并且不是 VolumeMount 的唯一键。如果安装多个相同的 volume ，多个 VolumeMounts 将有同样的 Volume 名称。“ mountPath ”是独一无二的，并可以作为 mergekey 。

升级前注意事项

1 、升级前重要的安全相关改变

• 必须在 kube-apiserver 设置--anonymous-auth=false 参数，除非你是一个测试该功能的开发者并且了解它。如果不这样，你会允许未经授权的用户访问你的 apiserver 。

• 必须在联邦 apiserver 设置--anonymous-auth=false 参数，除非你是一个测试该功能的开发者并且了解它。如果不这样，你会允许未经授权的用户访问你的联邦 apiserver 。你不需要调整 kublete 的该参数： 1.4 的 Kubelet APIs 没有授权。

2 、 batch/v2alpha1.ScheduledJob 被重命名为 batch/v2alpha1.CronJob 。

3 、 PetSet 被重命名为 StatefulSet 。如果你现在有 PetSets ，你要在升级为 StatefulSets 前后进行一些额外的迁移操作。

4 、如果你从 v1.4.x 升级你的集群联邦组件，请更新你的 federation-apiserver 和 federation-controller-manager 到新版本。

5 、废弃的 kubelet --configure-cbr0 参数被移除。经典的网络模式也是。如果你依赖于此模式，请调研其他的网络插件 kubenet 或 cni 是否满足需求。

6 、新的 client-go 结构，参考 kubernetes/client-go 进行版本控制策略。

7 、废弃的 kube-scheduler --bind-pods-qps 和--bind-pods burst 参数被移除，替换为--kube-api-qps 和--kube-api-burst 。

8 、如果你需要使用 1.4 的特性:PodDisruptionBudget(例如创建了 PodDisruptionBudget 对象)，那么在从 1.4 升级为 1.5 之前，你一定要删除所有创建的 PodDisruptionBudget 对象(policy/v1alpha1/PodDisruptionBudget)。升级之后不可能删除这些对象。它们的存在也会妨碍你使用 1.5 里 Beta 版的 PodDisruptionBudget 特性(policy/v1beta1/PodDisruptionBudget)。如果你已经进行了升级，那么你需要降级到 1.4 来删除这些 policy/v1alpha1/PodDisruptionBudget 对象。

tips ：查看更多精彩内容？关注公众号： tenxcloud2(时速云订阅号) ， 我们后续还会发布 kubernetes 1.5 相关文章，大家持续关注哦~