Kubernetes 1.27发布，冻结了原有的镜像注册中心并提供Pod资源就地更新功能

云原生计算基金会（CNCF）发布了名为 chill vibes 的 Kubernetes 1.27。该版本有一些新的功能，比如 Pod 资源的就地更新、并行镜像拉取的限制以及多个 Service CIDR。

该版本还包含多个 beta 特性，如自动删除由 StatefulSet 创建的 PVC、为 kubectl 添加了一个新的子资源标记以及组件健康 SLI（Component Health SLI）。

有多个特性已经标记为普遍可用或已稳定，如冻结传统的容器镜像注册中心 k8s.gcr.io、默认使用 seccomp profile 以及支持 OpenAPI v3。

在 1.27 版本中，SecurityContextDeny admission 插件被弃用，Azure 磁盘树内存储插件被移除。

在这个新版本中，冻结了对托管在谷歌自定义容器注册中心上的传统容器镜像注册中心的使用。从 3 月 20 日开始，来自 k8s.gcr.io 的流量已被重新定向到社区拥有的 registry.k8s.io，目的是使 k8s.gcr.io 逐渐落幕。这一变化应该为用户提供高可用性，并通过在多个云提供商托管社区容器注册中心来减少延迟，取代以往在单个实体进行托管。

来自发布团队的微软高级产品经理的 Xander Grzywinski 对这一特殊特性进行了评论：

我知道在整个发布周期中，我们已经谈了很多，相信有些人已经听烦了，但这值得再说一遍。1.27 版本的镜像不会被发布到旧的注册中心。任何对旧注册中心的请求都会被重定向到新注册中心，但如果你使用了代理的话，就需要做一些额外工作了。

该版本引入了 Pod 资源的就地更新功能，允许改变容器的资源请求和限制，而不必重新启动 pod。这个功能在默认情况下是关闭的，允许用户在容器的 resizePolicy 字段中指定是否需要重新启动。

来自发布团队的微软首席软件工程师 Mark Rossetti 对此特性发表了评论：

很多人一直在等待这个功能。借助这个功能，你可以在不重启容器的情况下，对容器进行资源增减。这将帮助很多的工作负载更快地进行扩展，减少中断。

在新版本中，可以对 kubelet 并行拉取镜像的数量进行限制，以避免消耗过多的网络带宽和磁盘，从而导致集群性能的降低。

此外，对于 Service CIDR 的内部 IP 地址，没有 service-cluster-ip-range 字段相关的大小限制。它在默认情况下是关闭的，这能够让用户轻松探查分配给 Service 的 IP 地址。

StatefulSetStatefulSet PVC 自动删除功能在 1.27 版本中移到了 beta 状态，并默认启用。过去，当 StatefulSet 删除时，相关的 PVC 和底层卷会被保留。这会引发手工工作，并且会导致未使用的存储产生成本。

为了获取和更新所有 API 资源的子资源，在 beta 版的 kubectl 中加入了 -subresource 标志，它允许获取和更新子资源的状态和规模。更多的子资源会在未来的版本中加入。

Kubernetes 组件的 SLI 度量指标毕业到了 beta 状态，允许用户监控和测量 Kubernetes 内部的可用性。每个组件将有两种指标类型，即仪表（gauge）和计数器（counter）。

在这个版本中，默认启用安全计算模型（secure computing mode，seccomp） profile 被标记为已稳定。要默认启用 seccomp profile，运维人员必须在每个要使用它的节点上启用 --seccomp-default 命令行标志来运行 kubelet。该特性通过限制允许的系统调用，借助 seccomp profile 来执行 Kubernetes 中的 Pod 容器，从而提高了它的安全性。

对 OpenAPI v3 的支持，这是一个与语言无关的 API 标准接口，已经普遍可用，并且会默认启用。这允许 Kubernetes 以 OpenAPI v3 格式发布 API 的描述。

Kubernetes 是一个开源的容器编排软件，用于大规模部署和管理容器化的应用程序。

根据发布说明，Kubernetes 1.27 版有 60 个功能增强，其中 18 个进入了 alpha，13 个达到了普遍可用或稳定状态，29 个毕业到了 beta 状态。此外，还有 14 项功能被废弃或删除。

CNCF 在 2023 年 4 月 14 日举行了一次 webinar，讨论了发布团队的变化。

原文链接：

Kubernetes 1.27 Released with Freeze on Legacy Image Registry and In-Place Update of Pod Resources（https://www.infoq.com/news/2023/05/kubernetes-1-27/）

声明：本文为 InfoQ 翻译，未经许可禁止转载。