返回 登录
0

Kubernetes1.7发布,可扩展性和网络通信策略

Kubernetes 1.7已经发布,本文Ghostcloud将为大家深度分析新版本的可扩展性和安全性以及一系列新特性。

Kubernetes 1.7包括了4个稳定特性,7个公测版和19个内测版,有来自谷歌、CoreOS、Mirantis、Red Hat、微软等公司的370余人参与了这个新版本的发布。

一般情况下,内测版本中的特性不会被默认开启,它们不会被官方社区认为是“生产就绪”了的产品功能,但用户可以选择使用它们。公测版的功能则是经过大量用户测试的,默认开启,在后面的版本中它们可能会有改变。
图片描述
4个稳定的特性,意味着这部分产品内容已经被证明准备就绪,禁得住考验,并将在许多后续版本中沿用:
Ÿ用于限制容器网络流量的网络策略API
Ÿ用于负载平衡器的源IP处理
ŸStorageOS卷插件
Ÿ云存储指标

改进的可扩展性,旨在扩大Kubernetes的范围和功能,不会使核心项目扩大,包括以下内容:
Ÿ自定义资源定义:1.7版本中CRDs处于测试阶段,第三方资源正在迁移到一个新的API组,自定义资源定义将支持扩展机制,而第三方资源将被完全弃用。CRDs将允许Kubernetes API的扩展,为用户提供核心的Kubernetes组件功能。
Ÿ可扩展外部访问控制:此内测功能使管理员和集成商可以定义自己的可扩展策略和安全检查,以便将内容加入他们的Kubernetes集群中。
ŸAPI聚合:在公测版中,它允许社区成员编写自己的API服务器。可以在单独的聚合服务器中开发和测试新的API,安全增强功能包括节点授权插件以限制kubelet访问和客户端/服务器传输层安全(TLS)证书转换。

新版本的kubernetes在安全增强上增加了以下功能:
网络策略API:该通信网络通过网络插件实现,允许用户设置和制定执行规则,管理哪些pod可以相互通信。
Ÿ加密隐私:此内测功能允许存储在etcd密钥值存储中的敏感数据在数据存储层进行加密。这不仅仅是加密磁盘上的数据,允许API服务器在将数据传递给etcd之前对数据加密。
Ÿ限制节点访问API:这个新的授权模式和许可插件旨在将节点对敏感信息的访问限制在仅在该特定节点运行的端口上,在集群中无法访问全局的加密文件。

此外,还有其他更新点:
ŸDaemonSet更新:这个公测特性增加了自动更新的选项,1.7版本增加了回滚和历史的功能。
ŸStatefulSets 的自动更新:在测试版中,状态设置可以自动进行,使用包括滚动更新在内的一系列更新策略。
Ÿ支持“突发模式”:它可以根据需要快速,无序地按比例调整或扩缩。
Ÿ网络策略已稳定:提升为稳定状态,此功能允许标签选择pod,并定义规则来指定允许的网络流量,而不是接受来自任何来源的流量。
Ÿ本地持久存储:正式对本地存储进行 alpha 支持,允许用户从StorageClass请求其Pods在具有本地连接的存储节点上执行。与hostPath相比, 该方法将是一种更可靠的存储本地持久数据的模型。

评论