開源Container調(diào)度平臺(tái)Kubernetes釋出了1.10版本,這個(gè)版本的重要更新包括支援標(biāo)準(zhǔn)化存儲(chǔ)的Container存儲(chǔ)介面(Container Storage Interface,CSI)、API聚合以及安全性的系列更新,而這也是CoreOS加入紅帽(Red Hat)的第一個(gè)Kubernetes新版本。
Kubernetes增加新功能的步調(diào),會(huì)在一開始加入Alpha版本,并在後續(xù)的Kubernetes更新中,依情況轉(zhuǎn)為Beta版,最終成為穩(wěn)定版加入Kubernetes的正式功能。Kubernetes開發(fā)團(tuán)隊(duì)特別提到,容器存儲(chǔ)介面在Kubernetes 1.9時(shí)候加入,在1.10已經(jīng)到了Beta版本,表示此功能進(jìn)展快速。
Container存儲(chǔ)介面能讓使用者像安裝Pod一樣,輕松安裝Volume插件,而這使得第三方存儲(chǔ)供應(yīng)商可以脫離Kubernetes的核心程式碼限制,獨(dú)立開發(fā)自家的解決方案。開發(fā)團(tuán)隊(duì)表示,此設(shè)計(jì)能維持Kubernetes生態(tài)系中的可擴(kuò)展性。
同時(shí),Durable(Non-shared)本地端存儲(chǔ)管理在Kubernetes 1.10也成為Beta版,讓非透過(guò)網(wǎng)絡(luò)連結(jié)的本地端連接存儲(chǔ)成為持久磁碟(Persistent Volume),提供使用者能以更高效能且低成本的方法,建立分散式檔案系統(tǒng)與資料庫(kù)。
持久磁碟在Kubernetes 1.10也有一些Beta更新,為確保存儲(chǔ)API物件被以正確的順序刪除,現(xiàn)在Kubernetes能防止Pod使用中的持久磁碟宣告(Persistent Volume Claims)被刪除,并防止被綁定在持久磁碟宣告的持久磁碟被刪除。
而API聚合功能在Kubernetes 1.10成為穩(wěn)定版,現(xiàn)在開發(fā)者可以自己定義API伺服器而不需要更改Kubernetes核心程式碼。Kubernetes開發(fā)團(tuán)隊(duì)表示,這是一個(gè)強(qiáng)大的功能,開發(fā)人員擁有Kubernetes高度自訂的能力,其所能提供的資源種類與Kubernetes核心有很大的不同,對(duì)於Kubernetes主要的擴(kuò)充機(jī)制自訂義資源(Custom Resource Definitions,CRDs)感到不夠完備的使用者案例,API聚合可能是一個(gè)很好的解決辦法。而穩(wěn)定版也意味著,開發(fā)人員可以把這功能應(yīng)用在產(chǎn)品階段了。
Kubernetes 1.10也更新了Pod安全性政策。Kubernetes開發(fā)團(tuán)隊(duì)表示,Container為主機(jī)上的獨(dú)立程序,開發(fā)者應(yīng)停用不再執(zhí)行的Container。而Kubernetes提供開發(fā)人員數(shù)種手段,以特殊權(quán)限存取主機(jī),當(dāng)這些手段被盜用將會(huì)成為攻擊的媒介。而Pod安全政策目的在於,以名稱空間限制Pod的執(zhí)行種類,以減少攻擊面。
在3月被揭露的CVE-2017-1002101安全漏洞,允許Container對(duì)檔案系統(tǒng)存取任意得檔案,也在Kubernetes 1.10獲得修正。
