最近更新时间:2023-10-31 10:08:27
本文介绍Kubernetes 1.25版本相对于1.23版本的变更特性。
通过将连接的TIME-WAIT状态从默认的60秒减少到1秒,使得kubelet能够释放套接字、释放conntrack条目和关联的临时端口。
PodSecurityPolicy已在v1.25中被移除,替代方案是Pod Security Admission,它在此版本中升级为稳定版。如果您目前依赖PodSecurityPolicy,请按照迁移说明。
临时容器是仅在现有Pod内存在有限时间的容器,当需要检查某个容器但却因该容器已崩溃或其镜像缺少调试工具而无法使用kubectl exec的情况下,能够及时排除故障。
cgroups v2相对于cgroups v1提供了几项改进,有关更多信息请参阅cgroups v2文档。
SeccompDefault升级为Beta版,有关更多详细信息,请参阅使用seccomp限制容器的教程。
支持endPort字段的Network Policy提供程序现在可以使用它来指定适用于一系列端口的Network Policy。
支持在Pod之间隔离共享资源的本地临时存储(如EmptyDir),以便在本地临时存储的消耗超过限制时通过驱逐Pod来限制Pod对共享资源的消耗。
CSI Ephemeral Volume功能允许在Pod规范中直接指定CSI卷,用于临时使用情况,用于在Pod内部使用挂载卷的方式注入任意状态,如配置、密钥、身份、变量或类似信息。
可以使用通用表达式语言(CEL)声明如何使用自定义资源进行验证,详情请参阅验证规则指南。
引入KMS v2 alpha1 API以提升性能,实现轮替与可观察性改进。使用AES-GCM来替代AES-CBC通过DEK进行静态数据加密,不需要用户采取任何操作。有关更多信息,请参阅使用KMS提供程序进行数据加密的指南。
从v1.25开始,镜像使用distroless构建,减少了镜像大小约50%,安装的软件包和文件数量也大大减少。
默认情况下,新的Beta API将不会在集群中启用,现有Beta API将继续默认启用。
签名和验证发布的软件包是增加Kubernetes发布过程中软件供应链安全性的一部分。
支持通过CSIStorageCapacity对象公开当前可用的存储容量,并增强了使用CSI卷的Pod的调度能力。
该功能为PriorityClasses添加了一个新选项,可以启用或禁用Pod的抢占。
您现在可以在Kubernetes中原生地配置gRPC应用程序的启动、存活和就绪探针,而无需暴露HTTP端点或使用额外的可执行文件,默认可用特性门控参数GRPCContainerProbe。
这使得kubelet可以动态地使用exec插件来检索容器镜像注册表的凭证,而不是将凭证存储在节点的文件系统上。
v1.24引入了一个新的可选择功能,允许您为服务的静态IP地址分配保留一个范围。通过手动启用此功能,集群将更倾向于从服务IP地址池中自动分配IP地址,从而降低冲突的风险。
详情请参考:
纯净模式