升级Kubernetes 1.18前，你不得不知的9件事

最抢鲜的Kubernetes 1.18 线上Demo来了！ 下周四（4月2日）晚上8点半，《Kubernetes 1.18网研会》为你带来K8S 1.18的 新特性详解和实操演示 ，包括K8S拓扑管理器、IngressClass以及kubectl debug等等内容。

文末点击【阅读原文】或访问以下链接即可报名：

http://z-mz.cn/lMe8

昨天Kubernetes最新版本v1.18已经发布，其包含了38项功能增强，其中15项为稳定版功能、11项beta版功能以及12项alpha版功能。在本文中，我们将探索其中一些功能，希望能帮助你决定是否需要升级。那么，我们现在开始吧！

将Service Account Token

作为通用身份验证方法

Kubernetes使用service account来验证集群内的服务。例如，如果你想要一个pod来管理其他Kubernetes资源，如Deployment或者Service，你可以与Service Account相关联并创建必要的角色和角色绑定。Kubernetes Service Account（KSA）发送JSON Web Tokens（JWT）到API server以验证它们。这使API server成为service account身份验证的唯一来源。

那么，如果实体需要针对集群外的其他服务进行身份验证，该怎么办？为了使用其KSA，外部身份验证器必须联系API server以验证请求。但是，API server不应公开访问。因为这使你可以使用其他身份验证系统进行验证，这会增加复杂性。即使第三方服务位于可以访问API server的集群中，也会增加负载。

于是在Kubernetes 1.18中增加了一个功能（#1393），该功能使API server提供OpenID Connect发现文档，该文档包含Token的公共密钥以及其他元数据。OIDC身份验证器可以使用此数据对token进行身份验证，而不必先引用API server。

为特定Pod配置HPA速率

在集群级别定义偶数Pod扩展规则

在Kubernetes 1.16中首次引入Even Pod Spreading，它可以确保以最高的可用性和资源利用率的方式在可用区上（如果你使用的是多区域集群）调度Pod。该功能通过指定topologySpreadConstraints来发挥作用，通过搜索具有相同topologyKey标签的节点来识别区域。具有相同topologyKey标签的节点属于同一区域。该设置将pod均匀分配到不同区域中。但是，它的缺点是必须在Pod级别应用此设置。没有配置参数的pod将不会在故障域之间分布。

这一功能（＃895）允许你为不提供任何topologySpreadConstraints的Pod定义default spreading constraints。已定义此设置的Pod将覆盖全局级别。

在Windows上支持Containerd 1.3

当我们谈论“Kubernetes”时，我们几乎第一时间想到的是Linux。即使在教程、大部分的书籍和文献中也普遍将 Linux 视为运行Kubernetes的事实上的操作系统。

然而，Microsoft Windows已经采取相应的措施来支持Kubernetes在Windows Server系列产品上运行。这些措施包括添加对Containerd运行时版本1.3的支持。Windows Server2019包含更新的主机容器服务（HCS v2），其功能是增强了对容器管理的控制，这可能会改善Kubernetes API的兼容性。但是，当前的 Docker 版本（EE18.09）还未与Windows HCSv2兼容，只有Containerd可以使用。使用Containerd运行时可以在Windows操作系统和Kubernetes之间实现更好的兼容性，也将提供更多功能。该功能（#1001）引入了对Windows的Containerd 1.3版本的支持，并将其作为容器运行时的接口（CRI）。

在同一集群中支持RuntimeClass

和多个Windows版本的标签

既然Microsoft Windows正在积极支持Kubernetes的各种功能，因此今天能够看到在Linux和Windows节点上运行的混合集群并不稀奇。早在Kubernetes 1.12就引入了RuntimeClass，而Kubernetes 1.14引入了主要的增强功能。它可以让你选择容器运行时，并且其上运行特定的pod。现在，在Kubernetes 1.18中，RuntimeClass支持Windows节点。所以你可以选择节点来调度应仅在Windows上运行的Pod，该节点运行特定的Windows构建。

跳过Volume所有权更改

允许Secret和ConfigMap不可变

在Kubernetes早期，我们就已经使用ConfigMap来将配置数据注入到我们的容器中。如果数据十分敏感，那么则会使用Secret。将数据呈现给容器最常见的方式是通过挂载一个包含数据的文件。但是，当对ConfigMap或Secret进行更改时，此更改将会立刻传递到安装了该配置文件的所有pod。也许这并不是将更改应用于正在运行的集群的最佳方式。因为如果新配置有问题，我们将面临停止运行应用程序的风险。

修改Deployment时，将通过滚动更新策略应用更改，在该策略中，将创建新的Pod，而旧的Pod在删除之前仍然有作用。该策略可以确保如果新的Pod无法启动，则该应用程序仍将在旧的Pod上运行。ConfigMap和Secret也采用了类似的方法，它们通过在不可变字段中启用不可变性。当对象不可变时，API将拒绝对其进行任何更改。为了修改对象，你必须删除它并重新创建它，同事还要重新创建使用它的所有容器。使用Deployment滚动更新，可以在删除旧的Pod之前确保新的pod在新的配置中正常工作，以避免由于配置更改错误而导致应用程序中断。

另外，将ConfigMaps和Secrets设置为不可变，可以节省API server不必定期轮询它们的更改。通过启用ImmutableEmphemeralVolumes功能门，可以在Kubernetes 1.18中启用该功能（＃1412）。然后在ConfigMap或Secret资源文件中将不可变值设置为true，对资源键所做的任何更改都将被拒绝，从而保护集群不受意外的坏更新的影响。

使用Kubectl调试为用户提供

更多故障排除功能

总  结

Kubernetes是一项不断变化的技术，每个版本中都添加了越来越多的功能。在本文中，我们简要讨论了Kubernetes 1.18中一些最有趣的新功能。但是，毋庸置疑，升级Kubernetes集群并不是一个容易做出的决定。希望文章里对一些功能的介绍，可以给予你一些有意义的参考。

如果你还想更详细地了解Kubernetes 1.18中的新功能以及其应用场景，赶紧来报名参加下周四晚上的Webinar！我们的宗旨是：demo、demo and more demo！

原文链接：

https://www.magalix.com/blog/kubernetes-1.18-what-you-should-know

推荐阅读

Rancher 2.3实现K8S一键式升级！再也不用同步升级Rancher啦！

6个出色的Kubernetes发行版，哪款最适合你？

超长可视化指南！你必须了解的K8S部署的debug思路

About Rancher Labs

Rancher Labs由CloudStack之父梁胜创建。旗舰产品Rancher是一个开源的企业级Kubernetes管理平台，实现了Kubernetes集群在混合云+本地数据中心的集中部署与管理。Rancher一向因操作体验的直观、极简备受用户青睐，被Forrester评为2018年全球容器管理平台领导厂商，被Gartner评为2017年全球最酷的云基础设施供应商。

目前Rancher在全球拥有超过三亿的核心镜像下载量，并拥有包括中国人寿、华为、中国平安、兴业银行、民生银行、平安证券、海航科技、厦门航空、上汽集团、海尔、米其林、丰田、本田、中船重工、中联重科、迪斯尼、IBM、Cisco、Nvidia、辉瑞制药、西门子、CCTV、中国联通等全球著名企业在内的共40000家企业客户。

点击【阅读原文】，预约K8S网研会！

↓↓↓