Kubernetes 1.10：主要なイノベーションの概要

3月末に、 Kubernetes 1.10がリリースされました。 Kubernetesの次のリリースで最も重要な変更に関する詳細を伝えるという伝統を守り、 CHANGELOG-1.10に基づいてこのレビューを公開し、多数の問題、プルリクエスト、設計提案を公開しています。 それでは、K8s 1.10の新機能は何ですか？

保管施設

マウント伝播 -マウントされたホストディレクトリがコンテナ内で見えるようにボリュームをrslave



としてマウントする能力（値HostToContainer



）、またはマウントされたコンテナディレクトリがホストで見えるようにrshared



（ Bidirectional



値）。 ステータス-ベータ版（サイト上のドキュメント ）。 Windowsではサポートされていません。



ローカル永続ストレージ （ Local Persistent Storage ）を作成する機能が追加されました。 PersistentVolumes



（PV）は、ネットワークボリュームだけでなく、ローカルに接続されたドライブに基づくこともできるようになりました。 イノベーションには2つの目標があります。a）パフォーマンスの向上（ローカルSSDはネットワークドライブよりも高速）、b）鉄（ベアメタル）Kubernetesインストールで安価なストレージを使用する機能を提供します。 これらの作品は、Ephemeral Local Storageの作成と共に導入されます。K8s1.8で最初に導入された制限/制限は、ベータ版として発表され、デフォルトで有効になりました。



これは、標準のKubernetesスケジューラーがボリュームトポロジの制限を認識（および考慮）し、 PersistentVolumeClaims



（PVC）をバインドするプロセスで（ベータ版）「 Topology Aware Volume Scheduling 」が利用可能になりました。 PVは、スケジューラーの決定と見なされます。 これは、PVを要求できるように実装されており、PVは他の制限（リソース要件、アフィニティ/非アフィニティポリシー）と互換性があるはずです。 同時に、制約付きPVを使用しない炉床の計画は、同じパフォーマンスで行う必要があります。 詳細はdesign-proposalsにあります。



ボリューム/ファイルシステムのサポートにおけるその他の改善点：

• pkg / volume / rbdで（一般的なlibrbdライブラリに基づく）rbd-nbdクライアントを使用する機能を備えたCeph RBDの改善。
• FUSEを介したCeph FSのマウントのサポート 。
• ブロックボリュームとvolumeMode
  
  
  
  サポートがAWS EBSのプラグインに追加され、ブロックボリュームのサポートがGCE PDプラグインに追加されました。
• マウントされている場合でもボリュームのサイズを変更する機能 。

最後に、Kubernetesのストレージサブシステムの内部状態について説明する追加のメトリック が追加 （および安定と宣言）され、デバッグとクラスターの状態の広範な理解を目的としています。 たとえば、ボリュームごとに（ volume_plugin



によって）マウント/アンマウントおよびアタッチ/デタッチ操作の合計時間、プリビジョンおよび削除の合計時間、ActualStateofWorldおよびDesiredStateOfWorldのボリュームの数、バインドされた/バインドされていないPVCおよびPV、使用された数を確認できるようになりましたPVCおよびその他のポッド詳細については、 ドキュメントを参照してください。

Kubelet、ノードおよびそれらの管理

Kubeletには、 KubeletConfiguration構造を持つバージョン管理された構成ファイル （コマンドラインでフラグを使用する従来の方法の代わりに）を通じて構成する機能があります。 Kubeletが構成を取得するには、 -configフラグを使用して実行する必要があります（詳細についてはドキュメントを参照してください）。 このアプローチは、ノードの展開と構成管理を簡素化するため、推奨と呼ばれます。 これは、 kubelet.config.k8s.io



1.10のリリースのベータステータスを持つkubelet.config.k8s.io



というAPIグループの出現により可能になりました。 Kubeletの構成ファイルの例：

 kind: KubeletConfiguration apiVersion: kubelet.config.k8s.io/v1beta1 evictionHard: memory.available: "200Mi"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

囲炉裏仕様の新しいオプションであるPodSpec



により、コンテナはプロセスに共通のサブ名前空間 （PID名前空間）を使用できるようになりました。 以前は、Dockerに必要なサポートがなかったため、これは不可能でしたが、追加のAPIが出現し、それが一部のコンテナイメージで使用されています。 実装の結果、Container Runtime Interface（CRI）のPID名前空間の3つの分離モードがサポートされます：各コンテナー（つまり、各コンテナーの独自の名前空間）、ハース（ハースコンテナーの共通名前空間）、ノード。 準備完了ステータスはアルファです。



CRIのもう1つの重要な変更は、 Windowsコンテナー構成サポートの導入です。 これまで、CRIで構成できるのはLinuxコンテナーのみでしたが、OCI（Open Container Initiative、 Runtime Specification ）仕様では、他のプラットフォーム（特にWindows ）の機能についても説明しています 。 CRIは、Windowsコンテナ（アルファ版）のメモリとプロセッサの制限をサポートするようになりました。



さらに、3つのリソース管理ワーキンググループの開発がベータステータスに達しました。

1. CPUマネージャー （特定のプロセッサーコアの割り当て-K8s 1.8に関する記事で詳しく説明されています ）;
2. Huge Pages （ポッド2Miおよび1Gi Huge Pagesを使用する機能。これは、大量のメモリを消費するアプリケーションにとって重要です）。
3. デバイスプラグイン （ Kubeletでリソースを宣言できるベンダー向けフレームワーク：たとえば、 Gub 、NIC、FPGA、InfiniBandなど-Kubernetesのメインコードを変更する必要なし）。

--pod-max-pids



コンソールコマンドの--pod-max-pids



を使用して、炉で実行するプロセスの数を 制限できるようになりました。 実装にはアルファステータスがあり、 SupportPodPidsLimit



機能を含める必要があります。



containerd 1.1がCRI v1alpha2のネイティブサポートを導入したため、Kubernetes 1.10では、「中間」cri-containerdを必要とせずにcontainerd 1.1を直接使用できます（ これについてはこの記事の最後で説明しました ） 。 また、CRI-OはCRIバージョンをv1alpha2に更新し、CRI（Container Runtime Interface）自体の（UIDに加えて） LinuxSandboxSecurityContext



およびLinuxContainerSecurityContext



でコンテナーGIDを指定するためのサポートを追加しましたLinuxSandboxSecurityContext



サポートが実装され、アルファバージョンステータスがあります。

ネットワーク

kube -dnsの代わりにCoreDNSを使用するオプションは、ベータステータスに達しました。 特に、これにより kube -dnsを使用してkubeadmクラスターを使用してアップグレードするときにCoreDNSに移行することができました。この場合、 kubeadmは ConfigMap



-dnsからのConfigMap



基づいてConfigMap



構成（つまりCorefile



）を生成します。



伝統的に、囲炉裏の/etc/resolv.conf



はkubeletによって制御され、この構成からのデータはpod.dnsPolicy



基づいて生成されpod.dnsPolicy



。 Kubernetes 1.10（ベータ版） は 、炉のresolv.conf



構成のサポートを 提供します 。 これを行うために、 PodSpec



フィールドがdnsParams



に追加されdnsParams



。これにより、既存のDNS設定を書き換えることができます。 詳細はdesign-proposalsをご覧ください。 dnsPolicy: Custom



の使用dnsPolicy: Custom



：

 # Pod spec apiVersion: v1 kind: Pod metadata: {"namespace": "ns1", "name": "example"} spec: ... dnsPolicy: Custom dnsParams: nameservers: ["1.2.3.4"] search: - ns1.svc.cluster.local - my.dns.search.suffix options: - name: ndots value: 2 - name: edns0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

NodePort



のIPアドレスの範囲を定義できるオプションがkube-proxyに 追加されました 。 --nodeport-addresses



を使用して有効な値のフィルタリングを開始し--nodeport-addresses



（デフォルト値0.0.0.0/0



、つまり、現在のNodePort



動作に一致するすべてをスキップします）。 iptables、Linuxユーザー空間、IPVS、ウィンドウユーザー空間、winkernelのkube -proxyでの実装が提供されます。 ステータス-アルファ版。

認証

新しい認証方法を追加しました（アルファ版）：

1. 外部クライアントプロバイダー ：execベースのプラグインに対するK8sユーザーの長年の要求に応えて、 kubectl （client-go）は、任意のコマンドを実行してその出力を読み取ることで認証データを受信できる実行可能プラグインのサポートを実装しました（GCPプラグインはコマンドを呼び出すように構成することもできます） gcloud以外）。 1つのアプリケーションは、クラウドプロバイダーが（標準のKubernetesメカニズムを使用する代わりに）独自の認証システムを作成できることです。
2. クライアント（オーディエンス）と時間に関連付けられた JWTトークン（JSON Webトークン）を受信 するためのTokenRequest API 。

さらに、安定したステータスにより、ノードのアクセスを特定のAPI（ Node



認証モードとNodeRestriction



アドミッションプラグインを使用）に制限して、限られた数のオブジェクトと関連するシークレットのみにアクセス許可を発行することができました。

CLI

kubectl get



およびkubectl describe



によって表示される出力の処理が進行しました。 Kubernetes 1.10でベータステータスを取得したイニシアチブのグローバルな目的は、データを表形式で表示するための列を（クライアントではなく）サーバー側で受信することです。これは、拡張機能を使用する際のユーザーインターフェイスを改善するために行われます。 サーバー側で以前に開始された作業（K8s 1.8）はベータレベルになり、クライアント側で大きな変更が行われました。



kubectl port-forwardでは、リソース名を使用して適切な囲炉裏を選択する機能（および少なくとも1つのサブが実行されるまで待機する--pod-running-timeout



フラグ）が追加され、ポート転送のサービスを指定するサポートが追加されました（例： kubectl port-forward svc/myservice 8443:443



）。



kubectlコマンドの新しい略語： CronJobsの代わりにcj



、 crds



- CustomResourceDefinition



。 たとえば、 kubectl get crds



コマンドが使用可能になりました。

その他の変更

• 集約API 、つまり KubernetesのメインAPIを使用したユーザーapiserverの集約は、安定したステータスを取得しており、正式に本番環境で使用する準備ができています。
• Kubeletとkube -proxy は 、Windowsでネイティブサービスとして実行できるようになりました。 Windowsサービスコントロールマネージャー（SCM）のサポートと、単一のコンテナーを備えた炉床用のHyper-Vでの実験的な分離サポートが追加されました。
• ポッドによってアクティブに使用されているPVCの削除を「保護」する永続ボリューム要求保護 （ PVCProtection
  
  
  
  ） PVCProtection
  
  
  
  、 Storage Protection
  
  
  
  変更され 、ベータ版にアップグレードされました。
• cluster-autoscalerの Azureサポートのアルファバージョン。

適合性

• etcdのサポートされているバージョンは3.1.12です。 同時に、etcd2はバックエンドとして廃止されたと宣言されており、Kubernetes 1.13リリースではサポートが削除されます。
• Dockerの検証済みバージョン-1.11.2から1.13.1および17.03.x（K8s 1.9のリリース以降は変更されていません）
• Goバージョンは（1.9.2ではなく）1.9.3であり、サポートされる最小バージョンは1.9.1です。
• CNIバージョンは0.6.0です。

PS

ブログもご覧ください。

• Kubernetes 1.9：主要な革新の概要
• 「 4つのCNCFリリース1.0およびKubeCon 2017でのKubernetesの主要な発表 」。
• Kubernetes 1.8：主要なイノベーションの概要
• 「 Docker 17.06およびKubernetes 1.7：主要な革新 」;
• 「 手頃な価格のサービスとしてKubernetesを使用したインフラストラクチャ 。」