Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Cloud Container Engine/ Guia de usuário/ Clusters/ Visão geral de cluster/ Observações de versão do Kubernetes/ Observações de versão Kubernetes 1.25
Atualizado em 2024-11-28 GMT+08:00
Ver PDF
Compartilhar

Observações de versão Kubernetes 1.25

CCE foi aprovado pelo Programa certificado de conformidade com Kubernetes e é uma oferta certificada do Kubernetes. Esta seção descreve as atualizações no CCE de Kubernetes 1.25.

Alterações e depreciações de recursos

Observações de versão Kubernetes 1.25

  • PodSecurityPolicy é substituída pelo Pod Security Admission. Para obter detalhes sobre a migração, consulte Migração de PodSecurityPolicy para o controlador de admissão da PodSecurity.
  • SeccompDefault está em Beta. Para ativar esse recurso, adicione o parâmetro de inicialização --seccomp-default=true ao kubelet. Desta forma, seccomp é definido como RuntimeDefault por padrão, melhorando a segurança do sistema. Clusters da v1.25 não usam mais seccomp.security.alpha.kubernetes.io/pod e container.seccomp.security.alpha.kubernetes.io/annotation para usar seccomp. Substitua-os pelo campo securityContext.seccompProfile no pod ou contêiner. Para obter detalhes, consulte Configuração de um contexto de segurança para um pod ou contêiner.

    Depois que o recurso é ativado, as chamadas de sistema exigidas pela aplicação podem ser restringidas pelo tempo de execução. Certifique-se de que a depuração seja executada no ambiente de teste e que a aplicação não seja afetada.

  • EndPort na Política de rede está estável. Esse recurso é incorporado na versão 1.21. EndPort é adicionada a NetworkPolicy para que você especifique um intervalo de portas.
  • A partir da v1.25, o Kubernetes não oferece mais suporte à autenticação de certificado gerada usando o algoritmo SHA1WithRSA ou ECDSAWithSHA1. É aconselhável usar o algoritmo SHA256.

Observações de versão Kubernetes 1.24

  • O Dockershim foi marcado como obsoleto no Kubernetes 1.20 e oficialmente removido do código do kubelet no Kubernetes 1.24. Se você quiser usar o contêiner Docker, alterne para cri-dockerd ou outros tempos de execução que suportem CRI, como containerd e CRI-O.

    Para obter detalhes sobre como alternar do mecanismo Docker para containerd, consulte Migração de nós do Docker para containerd.

    Verifique se há agentes ou aplicações que dependem do Docker. Por exemplo, se docker ps, docker run e docker inspect forem usados, certifique-se de que vários tempos de execução sejam compatíveis e alterne para CRI padrão.

  • As APIs beta são desabilitadas por padrão. Quando algumas APIs beta de longo prazo são removidas do Kubernetes, 90% dos administradores de cluster não se importam com as APIs beta. Recursos beta não são recomendados no ambiente de produção. No entanto, devido à política de ativação padrão, essas APIs são ativadas no ambiente de produção, incorrendo em riscos. Portanto, na v1.24 e versões posteriores, as APIs beta são desativadas por padrão, exceto para as APIs beta ativadas.
  • LegacyServiceAccountTokenNoAutoGeneration vai para a versão beta. Por padrão, esse recurso é ativado, onde nenhum token secreto é gerado automaticamente para uma conta de serviço. Para usar um token que nunca expira, crie um segredo e monte-o. Para obter detalhes, consulte Segredos de token da conta de serviço.
  • service.alpha.kubernetes.io/tolerate-unready-endpoints é substituído por Service.spec.publishNotReadyAddresses.
  • A tag Service.Spec.LoadBalancerIP está obsoleta e pode ser removida em versões posteriores. Use uma anotação personalizada.

Referências

Para obter mais detalhes sobre a comparação de desempenho e a evolução da função entre o Kubernetes 1.25 e outras versões, consulte os seguintes documentos: