Kubernetes 1.25版本说明

本文介绍Kubernetes 1.25版本相对于1.23版本的变更特性。

主要特性

Kubernetes 1.25版本

• Kubelet的TCP和HTTP探针在使用网络资源方面更加高效

通过将连接的TIME-WAIT状态从默认的60秒减少到1秒，使得kubelet能够释放套接字、释放conntrack条目和关联的临时端口。

• Pod Security Admission稳定版替代PodSecurityPolicy

PodSecurityPolicy已在v1.25中被移除，替代方案是Pod Security Admission，它在此版本中升级为稳定版。如果您目前依赖PodSecurityPolicy，请按照迁移说明。

• Ephemeral Containers升级为稳定版

临时容器是仅在现有Pod内存在有限时间的容器，当需要检查某个容器但却因该容器已崩溃或其镜像缺少调试工具而无法使用kubectl exec的情况下，能够及时排除故障。

• 对cgroups v2的支持升级为稳定版

cgroups v2相对于cgroups v1提供了几项改进，有关更多信息请参阅cgroups v2文档。

• SeccompDefault升级为Beta版

SeccompDefault升级为Beta版，有关更多详细信息，请参阅使用seccomp限制容器的教程。

• Network Policy中的endPort升级为稳定版

支持endPort字段的Network Policy提供程序现在可以使用它来指定适用于一系列端口的Network Policy。

• 本地临时存储容量隔离升级为稳定版

支持在Pod之间隔离共享资源的本地临时存储（如EmptyDir），以便在本地临时存储的消耗超过限制时通过驱逐Pod来限制Pod对共享资源的消耗。

• 核心CSI迁移升级为稳定版
• CSI Ephemeral Volume升级为稳定版

CSI Ephemeral Volume功能允许在Pod规范中直接指定CSI卷，用于临时使用情况，用于在Pod内部使用挂载卷的方式注入任意状态，如配置、密钥、身份、变量或类似信息。

• CRD Validation Expression Language升级为Beta版

可以使用通用表达式语言（CEL）声明如何使用自定义资源进行验证，详情请参阅验证规则指南。

• 引入了KMS v2 API

引入KMS v2 alpha1 API以提升性能，实现轮替与可观察性改进。使用AES-GCM来替代AES-CBC通过DEK进行静态数据加密，不需要用户采取任何操作。有关更多信息，请参阅使用KMS提供程序进行数据加密的指南。

• kube-proxy镜像现在基于distroless镜像构建

从v1.25开始，镜像使用distroless构建，减少了镜像大小约50％，安装的软件包和文件数量也大大减少。

Kubernetes 1.24版本

• Beta APIs默认关闭

默认情况下，新的Beta API将不会在集群中启用，现有Beta API将继续默认启用。

• 发布的软件包使用cosign签名，并且实验性地支持验证镜像签名。

签名和验证发布的软件包是增加Kubernetes发布过程中软件供应链安全性的一部分。

• 支持OpenAPI v3格式
• 存储容量跟踪特性升级

支持通过CSIStorageCapacity对象公开当前可用的存储容量，并增强了使用CSI卷的Pod的调度能力。

• 非抢占优先级功能已稳定

该功能为PriorityClasses添加了一个新选项，可以启用或禁用Pod的抢占。

• gRPC探针升级至beta阶段

您现在可以在Kubernetes中原生地配置gRPC应用程序的启动、存活和就绪探针，而无需暴露HTTP端点或使用额外的可执行文件，默认可用特性门控参数GRPCContainerProbe。

• kubelet对图像凭证提供程序的支持升级为Beta阶段。

这使得kubelet可以动态地使用exec插件来检索容器镜像注册表的凭证，而不是将凭证存储在节点的文件系统上。

• 避免在为服务分配IP时发生冲突。

v1.24引入了一个新的可选择功能，允许您为服务的静态IP地址分配保留一个范围。通过手动启用此功能，集群将更倾向于从服务IP地址池中自动分配IP地址，从而降低冲突的风险。

弃用与移除

Kubernetes 1.25版本

• 移除对 CSI 迁移节点上运行的 CSI 驱动程序的检查。
• API服务器的弃用标志–service-account-api-audiences已被移除,改用–api-audiences标志。
• Kubelet废弃的 --experimental-kernel-memcg-notification 标志现已移除，改用 --kernel-memcg-notification。
• 在Ginkgo V2中，已弃用Ginkgo.Measure，改用gomega/gmeasure。
• kube-controller-manager的命令行标志enable-taint-manager已被弃用。

Kubernetes 1.24版本

• 在CSI迁移中，移除了对节点上运行的CSI驱动程序的检查。
• dockershim组件已从kubelet中移除。
• 已移除弃用的标志–experimental-check-node-capabilities-before-mount。
• kubeadm.k8s.io/v1beta2已被弃用，并将在将来的版本中移除。
• 实验性的动态日志清理功能已在1.24版本中被弃用并移除。
• Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。
• kube-apiserver移除参数–address、–insecure-bind-address、–port、–insecure-port=0。
• 弃用了功能开关ValidateProxyRedirects和StreamingProxyRedirects。
• 弃用了–pod-infra-container-image kubelet标志，并将在将来的版本中移除。
• kube-controller-manager和kube-scheduler移除启动参数–port=0和–address。
• 已移除弃用的kube-controller-manager标志"–deployment-controller-sync-period"，该标志不再被部署控制器使用。

参考链接

详情请参考：

• Kubernetes v1.25 Release Notes
• Kubernetes v1.24 Release Notes