今天，我們高興地宣布Kubernetes正式迎來1.23版本，也是2021年內(nèi)的最后一次版本更新。

此版本包含47項增強(qiáng)功能：其中11項增強(qiáng)已經(jīng)升級至穩(wěn)定版，17項增強(qiáng)進(jìn)入測試階段，19項增強(qiáng)迎來Alpha版，另有1項功能被棄用。

要點整理

棄用FlexVolume

FlexVolume已被棄用?，F(xiàn)在Kubernetes確定將樹外CSI驅(qū)動程序作為默認(rèn)存儲卷驅(qū)動程序編寫方式。關(guān)于更多詳細(xì)信息，請參閱說明文檔。FlexVolume驅(qū)動程序的維護(hù)者們應(yīng)轉(zhuǎn)向CSI驅(qū)動程序，并幫助FlexVolume用戶完成CSI遷移。這里也提醒各位FlexVolume將工作負(fù)載轉(zhuǎn)移至CSI驅(qū)動程序。

棄用klog特定標(biāo)記

為了簡化代碼庫，Kubernetes 1.23版本將棄用多個日志標(biāo)記;相關(guān)實現(xiàn)代碼將在后續(xù)版本中逐步剔除，請用戶們結(jié)合實際需要選擇可行的替代標(biāo)記解決方案。

Kubernetes發(fā)布流程中的軟件供應(yīng)鏈SLSA L1級合規(guī)性

Kubernetes各發(fā)行版現(xiàn)可生成出處證明文件，用以描述發(fā)布流程中的各登臺(staging)與實際發(fā)布階段?，F(xiàn)在，各工件在由一個階段轉(zhuǎn)至下一階段時會得到確切驗證。最終階段則保證Kubernetes發(fā)行版切實遵循SLSA安全框架L1級(面向軟件工件的供應(yīng)鏈等級)的合規(guī)性要求。

IPv4/IPv6雙棧網(wǎng)絡(luò)已畢業(yè)為通用版本

IPv4/IPv6雙棧網(wǎng)絡(luò)現(xiàn)已畢業(yè)為通用版本。自1.21版本以來，Kubernetes集群就默認(rèn)支持雙棧組網(wǎng)。在1.23版本中，我們進(jìn)一步刪除了IPv6DualStack功能門。我們并不強(qiáng)制要求使用雙棧網(wǎng)絡(luò)——雖然集群中已經(jīng)啟用雙棧網(wǎng)絡(luò)支持，但Pod與服務(wù)仍然默認(rèn)為單棧。要使用雙棧網(wǎng)絡(luò)，你的Kubernetes節(jié)點必須具有可路由的IPv4/IPv6網(wǎng)絡(luò)接口、必須使用支持雙棧的CNI網(wǎng)絡(luò)插件、必須將Pod配置為雙棧，而且必須將服務(wù)的.spec.ipFamilyPolicy字段設(shè)置為PreferDualStack或者RequireDualStack。

• HorizontalPodAutoscaler v2畢業(yè)為通用版本
• HorizontalPodAutscaler autoscaling/v2穩(wěn)定API已經(jīng)在1.23中畢業(yè)為通用版本。相應(yīng)的，HorizontalPodAutoscaler autoscaling/v2beta2API已被棄用。

Generic Ephemeral Volume(通用臨時存儲卷)功能畢業(yè)為通用版本

通用臨時存儲卷功能在1.23中畢業(yè)為通用版本。這項功能允許用戶將支持動態(tài)配置的一切現(xiàn)有存儲驅(qū)動器作為臨時存儲卷，并將存儲卷的生命周期綁定至相應(yīng)Pod。此功能還支持存儲卷配置中的所有StorageClass參數(shù)以及PersistentVolumeClaims所支持的一切功能。

Skip Volume Ownership(跳過卷所有權(quán))更改現(xiàn)已畢業(yè)至通用版本

這項用于配置存儲卷權(quán)限及所有權(quán)變更策略的功能已經(jīng)在1.23中畢業(yè)為通用版本，可幫助用戶通過掛載時的遞歸權(quán)限變更并加快Pod啟動時間。

允許CSI驅(qū)動程序選擇加入卷所有權(quán)及權(quán)限變更的功能，現(xiàn)已畢業(yè)至通用版本

這項功能允許CSI驅(qū)動程序以聲明方式支持基于fsGroup的權(quán)限，現(xiàn)已在1.23中畢業(yè)為通用版本。

PodSecurity升級至Beta版

PodSecurity迎來Beta版。PodSecurity替換掉了已被棄用的PodSecurityPolicy準(zhǔn)入控制器;其自身即可作為準(zhǔn)入控制器，根據(jù)所設(shè)置實施級別中的特定命名空間標(biāo)簽對命名空間內(nèi)的Pod執(zhí)行安全標(biāo)準(zhǔn)。在1.23版本中，Kubernetes已經(jīng)默認(rèn)啟用PodSecurity功能門。

Container Runtime Interface(容器運行時接口CRI)v1現(xiàn)為默認(rèn)選項

Kubelet現(xiàn)在支持CRI v1 API，并將后者作為項目范圍內(nèi)的默認(rèn)選項。如果某容器運行時不支持v1 API，Kubernetes將回退至v1 alpha2實現(xiàn)。最終用戶不需要執(zhí)行任何中間操作，因為v1與v1 alpha2在具體實現(xiàn)上沒有區(qū)別。v1alpha2有望在后續(xù)Kubernetes版本中被刪除，確保所有開發(fā)精力都將集中在v1身上。

結(jié)構(gòu)化日志升級至Beta版

結(jié)構(gòu)化日志已經(jīng)迎來Beta版。目前，kubelet與kube-scheduler中的大部分日志信息均已完成轉(zhuǎn)換。我們鼓勵用戶嘗試JSON輸出或者使用結(jié)構(gòu)化文本格式解析，并向我們提供關(guān)于潛在問題及可行解決方案的反饋意見，例如日志值中的多行字符串處理等。

面向調(diào)度器的精簡化多點插件配置機(jī)制

Kube-scheduler將為插件添加一個新的、精簡化的配置字段，允許用戶在單一位置啟用多個擴(kuò)展點。這種新的multiPoint(多點)插件字段將幫助管理員簡化大部分調(diào)度程序設(shè)置。通過multiPoint啟用的插件將自動在其實現(xiàn)的各個獨立擴(kuò)展點上完成注冊。例如，你可以同時在Score與Filter兩個擴(kuò)展點上啟用同一插件。如此一來，大家不必手動編輯各個擴(kuò)展點設(shè)置，即可輕松啟用和禁用該擴(kuò)展點上的所有插件。而且由于并不影響大多數(shù)用戶的實際使用，所以我們決定抽象掉這些擴(kuò)展點。

CSI遷移更新

CSI遷移(CSI Migration)使用相應(yīng)的CSI驅(qū)動程序替換現(xiàn)有樹中存儲插件，例如kubernetes.io/gce-pd或者kubernetes.io/aws-ebs。如果CSI Migration正常工作，則Kubernetes最終用戶不會感受到任何區(qū)別。遷移完成之后，Kubernetes用戶也可繼續(xù)使用現(xiàn)有接口上全部樹中存儲插件的一切功能。

• CSI Migration功能默認(rèn)開啟，但在1.23版本中其在GCE PD、AWS EBS以及Azure Disk上仍處于Beta版階段。
• 在1.23版本中，CSI Migration在Ceph RBD及Portworx上仍處于Alpha版階段。

CRD表達(dá)式語言驗證升級為Alpha版

從1.23版本開始，CRD表達(dá)式語言驗證(Expression language validation for CRD)正式進(jìn)入Alpha版階段。只要大家啟用CustomResourceValidationExpressions功能門，即代表自定義資源將由通用表達(dá)式語言(CEL)規(guī)則進(jìn)行驗證。

服務(wù)器端字段驗證升級為Alpha版

在1.23版本中啟用ServerSideFieldValidation功能門后，用戶將在通過包含未知或重復(fù)字段的請求發(fā)送Kubernetes對象時，收到來自服務(wù)器端的警告。與此同時，服務(wù)器將直接丟棄此前未知的字段以及除最后一個重復(fù)字段外的所有前置重復(fù)字段。

在啟用此功能門后，我們還將引入fieldValidation查詢參數(shù)，以便用戶以每條單獨請求為基礎(chǔ)指定服務(wù)器的相應(yīng)行為。這里fieldValidation查詢參數(shù)的有效值為：

• Ignore(禁用功能門時的默認(rèn)值，效果與1.23之前各版本刪除/忽略未知字段的行為相同)。
• Warn(啟用功能門時的默認(rèn)值)。
• Strict(將導(dǎo)致包含Invalid Request錯誤的請求直接失敗)。

OpenAPI v3升級為Alpha版

從1.23版本開始，如果啟用OpenAPIV3功能門，用戶將能夠為所有Kubernetes類型請求OpenAPI v3.0規(guī)范。OpenAPI v3完全透明，并能夠支持此前OpenAPI v2發(fā)布時丟棄的一組字段，具體包括：default，nullable，oneOf，anyOf。V3還為各個Kubernetes group版本發(fā)布了特定規(guī)范(位于$cluster/openapi/v3/apis/<group>/<version> 端點)以提升性能與發(fā)現(xiàn)性，所有g(shù)roup版本均可在$cluster/openapi/v3路徑處找到。

畢業(yè)至穩(wěn)定版的功能

• IPv4/IPv6雙棧支持：https://github.com/kubernetes/ ... s/563
• 跳過卷所有權(quán)變更：https://github.com/kubernetes/ ... s/695
• TTL完成后控制器：https://github.com/kubernetes/ ... s/592
• CSI 驅(qū)動程序?qū)ο笾械腇SGroup配置策略https://github.com/kubernetes/ ... /1682
• 通用臨時內(nèi)聯(lián)存儲卷：https://github.com/kubernetes/ ... /1698
• 通過靜態(tài)分析保護(hù)秘密日志：https://github.com/kubernetes/ ... /1933
• 命名空間范圍的入口類參數(shù)：https://github.com/kubernetes/ ... /2365
• 減少Kubernetes構(gòu)建維護(hù)負(fù)擔(dān)：https://github.com/kubernetes/ ... /2420
• HPA API畢業(yè)為通用版本：https://github.com/kubernetes/ ... /2702

重要變更

• API服務(wù)器請求的優(yōu)先級與公平性：https://github.com/kubernetes/ ... /1040

發(fā)行說明

關(guān)于完整的發(fā)行說明信息，請參閱Kubernetes 1.23版本發(fā)行說明。

可用性

Kubernetes 1.23現(xiàn)已通過GitHub開放下載。要開始使用Kubernets，建議你首先觀看交互式教程或通過kind使用Docker容器“節(jié)點”運行本地Kubernetes集群。你也可以使用kubeadm輕松安裝1.23最新版本。

發(fā)行版主題與徽標(biāo)

Kubernetes 1.23：探索新邊界

“探索新邊界(The Next Frontier)”主題體現(xiàn)出1.23版本中各項全新與漸進(jìn)式增強(qiáng)功能，也希望整個社區(qū)的成員們能夠秉持《星際迷航》中進(jìn)取號船員們不斷探索與成長的精神。

Kubernetes一直有著向《星際迷航》致敬的傳統(tǒng)。早在谷歌內(nèi)部的醞釀時期，Kubernetes的最初代號就是Project 7，代表著《星際迷航：航海家號》中的Borg人角色7/9。“探索新邊界”也明顯延續(xù)著《星際迷航》院線電影與電視劇集一以貫之的冒險精神。

“探索新邊界”也是對我們項目SIG發(fā)布章程的重申，即“確保通過統(tǒng)一的社區(qū)成員小組支持漫長時間表中的發(fā)布流程。”我們攜手新加入的發(fā)布團(tuán)隊成員共同發(fā)展社區(qū)，也很榮幸能成為很多新朋友們在開源領(lǐng)域的第一個家。

參考鏈接：https://kubernetes.io/blog/201 ... etes/

參考鏈接：https://github.com/kubernetes/ ... er.md

Kubernetes 1.23發(fā)行版的徽標(biāo)繼續(xù)向《星際迷航》致敬，其中的每顆星星都代表著Kubernetes項目的一位領(lǐng)導(dǎo)者。而熟悉的進(jìn)取號形象則代表著整個發(fā)行團(tuán)隊的團(tuán)結(jié)與力量。

新版本徽標(biāo)由Rey Lejano設(shè)計完成。