Notas del lanzamiento de CCE Kubernetes 1.25
CCE ha aprobado el Certified Kubernetes Conformance Program y es una oferta certificada de Kubernetes. En esta sección se describen las actualizaciones de CCE Kubernetes 1.25.
Actualizaciones de versiones
CCE proporciona optimización y actualización de componentes de enlace completo para Kubernetes 1.25.
Tipo de clúster |
componente del núcleo |
Versión |
Precauciones |
---|---|---|---|
Clúster de CCE |
Kubernetes |
1.25 |
Ninguna |
Docker |
EulerOS/CentOS: 18.9.0 Ubuntu: 18.09.9 |
Ninguna |
|
containerd |
1.4.1 |
Ninguna |
|
OS |
CentOS Linux release 7.6 |
Ninguna |
|
EulerOS release 2.9 |
Ninguna |
||
EulerOS release 2.5 |
Ninguna |
||
Ubuntu 18.04 server 64-bit |
Ninguna |
||
Huawei Cloud EulerOS 2.0 |
Ninguna |
||
Clúster de Turbo de CCE |
Kubernetes |
1.25 |
Ninguna |
Docker |
EulerOS/CentOS: 18.9.0 Ubuntu: 18.09.9 |
Ninguna |
|
containerd |
1.4.1 |
Ninguna |
|
OS (ECS) |
CentOS Linux release 7.6 Ubuntu 18.04 server 64-bit EulerOS release 2.9 |
Ninguna |
|
OS (BMS) |
CentOS Linux release 7.6 Ubuntu 18.04 server 64-bit EulerOS release 2.9 |
Ninguna |
Cambios y depreciaciones de recursos
Cambios en CCE 1.25
Excepto EulerOS 2.5, todos los nodos de CCE en el clúster 1.25 utilizan containerd de forma predeterminada.
Notas del lanzamiento de Kubernetes 1.25
- PodSecurityPolicy se sustituye por Pod Security Admission. Para obtener más información sobre la migración, consulte Migrar desde PodSecurityPolicy al controlador de admisión integrado de PodSecurity.
- SeccompDefault está en Beta. Para habilitar esta función, debe agregar el parámetro de inicio --seccomp-default=true a kubelet. De esta manera, seccomp se establece en RuntimeDefault de forma predeterminada, mejorando la seguridad del sistema. Los clústeres de v1.25 ya no usan seccomp.security.alpha.kubernetes.io/pod y contenedor.seccomp.security.alpha.kubernetes.io/annotation para usar seccomp. Reemplácelos por el campo securityContext.seccompProfile en el pod o el contenedor. Para obtener más información, consulte Configurar un contexto de seguridad para un pod o un contenedor.
Una vez habilitada la función, las llamadas al sistema requeridas por la aplicación pueden estar restringidas por el tiempo de ejecución. Asegúrese de que la depuración se realiza en el entorno de prueba y la aplicación no se ve afectada.
- EndPort en la política de red es estable. Esta característica se incorpora en la versión 1.21. EndPort se agrega a NetworkPolicy para que pueda especificar un rango de puertos.
- A partir de la v1.25, Kubernetes ya no admite la autenticación de certificados generada mediante el algoritmo SHA1WithRSA o ECDSAWithSHA1. Se recomienda utilizar el algoritmo SHA256.
Notas de lanzamiento de Kubernetes 1.24
- Dockershim fue marcado como obsoleto en Kubernetes 1.20 y oficialmente eliminado del código kubelet en Kubernetes 1.24. Si desea utilizar contenedor Docker, cambie a cri-dockerd u otros tiempos de ejecución que admitan CRI, como containerd y CRI-O.
Para obtener más información sobre cómo cambiar de motor Docker a containerd, consulte Migración de nodos de Docker a containerd.
Compruebe si hay agentes o aplicaciones que dependen de Docker. Por ejemplo, si se utilizan docker ps, docker run y docker inspect asegúrese de que varios tiempos de ejecución sean compatibles y cambie al CRI estándar.
- Las API beta están deshabilitadas de forma predeterminada. Cuando se eliminan algunas API beta a largo plazo de Kubernetes, el 90% de los administradores de clústeres no se preocupan por las API beta. Las funciones beta no se recomiendan en el entorno de producción. Sin embargo, debido a la política de habilitación predeterminada, estas API están habilitadas en el entorno de producción, incurriendo en riesgos. Por lo tanto, en v1.24 y las versiones posteriores, las API beta están deshabilitadas de forma predeterminada, excepto para las API beta habilitadas.
- LegacyServiceAccountTokenNoAutoGeneration se mueve a la beta. De forma predeterminada, esta función está habilitada, donde no se genera automáticamente ningún token secreto para una cuenta de servicio. Si quieres usar un token que nunca caduca, necesitas crear un secreto y montarlo. Para obtener más información, consulte Service account token Secrets.
- service.alpha.kubernetes.io/tolerate-unready-endpoints se sustituye por Service.spec.publishNotReadyAddresses.
- La etiqueta Service.Spec.LoadBalancerIP está obsoleta y puede eliminarse en versiones posteriores. Utilice una anotación personalizada.
Referencias
Para obtener más información sobre la comparación de rendimiento y la evolución de funciones entre Kubernetes 1.25 y otras versiones, consulte los siguientes documentos: