Kubernetes 1.8改进安全性、稳定性和Workloads API

Kubernetes团队刚刚发布了1.8版Kubernetes，新版在改进安全性的同时提供了更好的稳定性，并将Workloads API升级到了Beta版本。此外还对原本已经成熟的功能进行了更新，包括基于角色的访问控制（RBAC），为卷挂载选项提供支持，允许特权提升，以及对高级卷操作度量提供的支持。

在合规方面，RBAC和网络策略是两个非常强大的功能，有助于帮助客户满足管控和安全方面的需求。集群管理员可以根据Kubernetes API资源的作用范围，使用RBAC为用户和应用程序（服务帐户）定义不同级别的细化访问权限。网络策略可以在异构集群环境中针对不同Pod提供不同级别的隔离。

举例来说，如果只有一个应用程序服务器（源）连接到数据库服务器（目标），管理员可以定义两条策略，第一条应用于数据库Pod，只允许在特定端口接受来自应用程序Pod的入站流量；第二条应用于应用程序Pod，只允许将流量发送给数据库Pod的指定端口。这种策略可针对名称空间或CIDR的范围生效。默认情况下，同一个Kubernetes集群内的所有Pod（例如前端Pod、后端Pod、数据库Pod、缓存Pod等）可以毫无限制地相互随意通信。

此外新版本还包括一些重要的Beta版功能，例如可通过网络策略对来自Pod的出站流量进行筛选，可以为Kubelet和Workloads API配置自动进行的传输层安全（TLS）证书轮换。Kubernetes团队称，Workloads API“可以对现有工作负载向Kubernetes进行的迁移，以及以Kubernetes为原生目标的云原生应用程序开发提供所需的抽象和稳健的基础”。

Workloads API包含Daemon Sets（Pod管理）、Replica Sets（管理Pod的跨节点复制）、Deployments（管理Pod的更新和复制集）、Stateful Sets（对数据库等有状态应用程序提供Pod管理）。例如bootkube项目就使用了Workloads API。对于大数据工作负载，Workloads API还为Apache Stark提供了原生的Kubernetes支持。

Kubernetes社区对于1.8版本的发布表现的极为活跃，这是今年内的第三次发布，总共为Kubernetes增加了40个功能，这些功能（目前）来自29个特殊兴趣组（Special interest group，SIG）以及6个工作组（Working group，WG）。SIG是一种很多贡献者为了让项目更完善，围绕共同目标和具体的主题做贡献的群体，WG的成员则主要负责新概念的实现，以及协调于不同SIG的合作。

Kubernetes目前的开发重心主要围绕可以进一步改善稳定性的功能，并非围绕全新的功能。目前功能的生命周期主要分为三个阶段：Alpha、Beta和Stable。Alpha阶段主要面向处于初步阶段的功能，这些功能都是实验性的，并且可能在后续版本中取消。Beta阶段更进一步，会针对各种功能收集反馈并进一步完善。处于Stable阶段的功能通常已经不太可能继续改动，已经可以准备好用于生产环境。

1.8版约有40个新功能，其中4个处于Stable状态，16个为Beta状态，其余均为Alpha状态。预计这些功能将在1.9版进入Stable状态：Workloads API、与Prometheus更完善的集成、自定义资源定义（CRD）、在资源管理方面更丰富的节点级改进，以及常规的Bug修复。

原文来自:infoQ

声明：所有来源为“聚合数据”的内容信息，未经本网许可，不得转载！如对内容有异议或投诉，请与我们联系。邮箱：marketing@think-land.com