云原生计算基金会 (CNCF) 发布了名为 Planternetes 的Kubernetes 1.28。该版本具有混合版本代理、支持 CDI 注入容器以及 sidecar 容器感知等新功能。此外,该版本还包含 Beta 功能,例如 ValidatingAdmissionPolicies、准入 Webhook 的匹配条件以及 Linux 中交换空间的启用。一些功能已被标记为普遍可用或稳定,例如从非正常节点关闭中恢复、默认 StorageClass 的自动和追溯分配,以及支持控制平面和节点版本之间偏差的更改。在版本 1.28 中,CephFS 树内插件已弃用,并且删除了 GCE PD 的 CSI 迁移。在新版本中,pkgs.k8.io 上有一个适用于 Debian 和 RPM 的新软件包存储库,取代了 apt.kubernetes.io 和 yum.kubernetes.io 上的旧软件包存储库。从 2023 年 9 月 13 日起,此类存储库将被弃用并冻结。用户可以通过阅读该项目网站上的博客文章来检查自己是否受到影响,以采取必要的措施。在此版本中已解决并修补了三个高严重性漏洞(CVE-2023-3676、CVE-2023-3893和CVE-2023-3955)。它们与输入清理不足有关,可能会导致Windows节点上的权限升级。
已引入混合版本代理支持,以使kube-apiserver能够在控制平面组件版本不同时仍能响应请求。这是通过让kube-apiserver检查哪个kube-apiserver可以提供所请求的资源,然后将其代理到一个合适的对等体,这在维护期间可能会有所帮助。
在新版本中,引入了原生的sidecar容器。为init容器引入了一个restartPolicy字段,唯一有效的值为Always,以将init容器标记为sidecar。与以前的版本不同,1.28版中,Kubelet将仅等待init容器启动,而无需完成,然后再启动Pod的主容器。
在新版本 1.28 中,ValidatingAdmissionPolicies 已升级到测试版,允许使用声明式和进程内替代方案来验证准入 Webhooks。此类策略使用通用表达式语言 ( CEL ) 来描述策略的验证规则。默认情况下此功能处于关闭状态。此外,对Linux 上启用交换内存空间的支持已升级为测试版。此功能使 Kubelet 能够支持 Linux 上的 Kubernetes 工作负载使用工作节点交换空间。这对于寻求节点级性能调整的管理员或使用交换内存的应用程序的开发人员来说是有益的。在此版本中,从非正常节点关闭中恢复已普遍可用。这允许有状态工作负载在不同节点上重新启动,以防节点突然关闭或由于操作系统崩溃或硬件故障而处于不可恢复状态。支持控制平面和节点组件版本之间偏差的更改在版本 1.28 中被标记为稳定。此类修改允许除了 Kubelet 和 kube-proxy 等节点组件之外,包括 kube-apiserver 在内的控制平面组件可以是三个小 (n-3) 版本。这允许最终用户每年对节点执行一次次要版本升级,同时保持上游支持。
