Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Lesen Sie die Versionshinweise für Kubernetes Versionen mit erweitertem Support
Dieses Thema enthält wichtige Änderungen, auf die Sie bei jeder einzelnen Version achten sollten Kubernetes Version mit erweiterter Unterstützung. Überprüfen Sie beim Upgrade sorgfältig die Änderungen, die zwischen der alten und der neuen Version für Ihren Cluster vorgenommen wurden.
Kubernetes 1.27
Kubernetes 1.27
ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.27
, siehe die offizielle Ankündigung der Veröffentlichung
Wichtig
-
Die Unterstützung für die Alpha-
seccomp
-Anmerkungen und die Anmerkungenseccomp.security.alpha.kubernetes.io/pod
undcontainer.seccomp.security.alpha.kubernetes.io
wurde entfernt. Die Alpha-seccomp
-Anmerkungen sind seit1.19
veraltet. Aufgrund ihrer Entfernung in1.27
werdenseccomp
-Felder fürPods
nicht mehr automatisch mitseccomp
-Anmerkungen gefüllt. Verwenden Sie stattdessen das FeldsecurityContext.seccompProfile
fürPods
oder Container, umseccomp
-Profile zu konfigurieren. Um zu überprüfen, ob Sie die veralteten Alpha-seccomp
-Anmerkungen im Cluster verwenden, führen Sie den folgenden Befehl aus:kubectl get pods --all-namespaces -o json | grep -E 'seccomp.security.alpha.kubernetes.io/pod|container.seccomp.security.alpha.kubernetes.io'
-
Das Befehlszeilenargument
--container-runtime
für daskubelet
wurde entfernt. EKScontainerd
Seitdem ist die Standard-Container-Laufzeit für Amazon gültig1.24
, sodass die Container-Laufzeit nicht mehr angegeben werden muss. Von1.27
nun an ignoriert Amazon EKS das--container-runtime
Argument, das an alle Bootstrap-Skripte übergeben wird. Es ist wichtig, dass Sie dieses Argument nicht an übergeben, um--kubelet-extra-args
Fehler während des Node-Bootstrap-Prozesses zu vermeiden. Sie müssen das Argument--container-runtime
aus allen Workflows und Build-Skripten zur Knotenerstellung entfernen.
-
Der Eingang
kubelet
Kubernetes1.27
Die Standardeinstellung wurdekubeAPIQPS
auf50
undkubeAPIBurst
auf erhöht100
. Diese Verbesserungen ermöglichen es, ein höheres Volumen an API Anfragenkubelet
zu verarbeiten, wodurch die Antwortzeiten und die Leistung verbessert werden. Wenn der Bedarf anPods
aufgrund von Skalierungsanforderungen steigt, stellen die überarbeiteten Standardwerte sicher, dass daskubelet
die höhere Workload effizient bewältigen kann. Infolgedessen sindPod
-Starts schneller und Clustervorgänge effektiver. -
Zur Verteilung von Richtlinien wie
minDomain
können Sie eine detaillierterePod
-Topologie verwenden. Mit diesem Parameter können Sie die Mindestanzahl von Domains angeben, auf die diePods
verteilt werden sollen.nodeAffinityPolicy
undnodeTaintPolicy
ermöglichen ein zusätzliches Maß an Granularität bei der Steuerung derPod
-Verteilung. Dies entspricht den Knotenaffinitäten, den Taints und dem FeldmatchLabelKeys
in dentopologySpreadConstraints
der Spezifikation IhresPod’s
. Das ermöglicht die Auswahl vonPods
für Verteilungsberechnungen nach einem fortlaufenden Upgrade. -
Kubernetes
1.27
hat einen neuen Richtlinienmechanismus fürStatefulSets
, der die Lebensdauer derPersistentVolumeClaims
(PVCs
) steuert, zur Beta-Version hochgestuft. Mit der neuenPVC
-Aufbewahrungsrichtlinie können Sie angeben, ob die anhand der SpezifikationsvorlageStatefulSet
generiertenPVCs
automatisch gelöscht oder beibehalten werden, wenn dasStatefulSet
gelöscht wird oder die Replikate imStatefulSet
herunterskaliert werden. -
Die Goaway-Chance-Option
in der Kubernetes APIServer verhindert, dass HTTP/2
Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version1.27
hatgoaway-chance
Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY
bei Verbindungsabbruch erneut eine Verbindung herstellt.
Für das komplette Kubernetes 1.27
Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.27.md#
Kubernetes 1.26
Kubernetes 1.26
ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.26
, siehe die offizielle Ankündigung der Veröffentlichung
Wichtig
Kubernetes 1.26
unterstützt nicht mehr CRI v1alpha2
. Dies führt dazu, kubelet
dass der Knoten nicht mehr registriert wird, wenn die Container-Laufzeit dies nicht unterstützt CRI v1
. Das bedeutet auch, dass Kubernetes 1.26
unterstützt keine containerd-Nebenversionen 1.5
und frühere Versionen. Wenn Sie containerd verwenden, müssen Sie auf die containerd-Version 1.6.0
oder höher aktualisieren, bevor Sie Knoten aktualisieren auf Kubernetes 1.26
. Sie müssen auch alle anderen Container-Laufzeiten aktualisieren, die nur das v1alpha2
unterstützen. Weitere Informationen erhalten Sie beim Anbieter der Container-Laufzeit. Standardmäßig Amazon Linux and Bottlerocket AMIscontainerd die Containerversion1.6.6
.
-
Vor dem Upgrade auf Kubernetes
1.26
, aktualisiere dein Amazon VPC CNI plugin for Kubernetes auf Version1.12
oder höher. Wenn Sie nicht auf upgraden Amazon VPC CNI plugin for Kubernetes Version1.12
oder höher, die Amazon VPC CNI plugin for Kubernetes wird abstürzen. Weitere Informationen finden Sie unter Amazon VPC CNI. -
Die Goaway-Chance-Option
in der Kubernetes APIServer verhindert, dass HTTP/2
Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version1.26
hatgoaway-chance
Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY
bei Verbindungsabbruch erneut eine Verbindung herstellt.
Für das komplette Kubernetes 1.26
Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.26.md#
Kubernetes 1.25
Kubernetes 1.25
ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.25
, siehe die offizielle Ankündigung der Veröffentlichung
Wichtig
-
EC2
P2
Amazon-Instances werden auf Amazon nicht unterstütztEKS, da sie dieNVIDIA
Treiberversion 470 oder früher benötigen. -
PodSecurityPolicy
(PSP) wurde entfernt in Kubernetes1.25
. PSPs wurden durch die Sicherheitsstandards Pod Security Admission (PSA)und Pod ersetzt (PSS). PSA ist ein integrierter Zugangscontroller, der die in der beschriebenen Sicherheitskontrollen implementiert PSS . PSA and PSS sind graduiert, um stabil zu sein in Kubernetes 1.25
und sind EKS standardmäßig in Amazon aktiviert. Wenn du PSPs Stellen Sie in Ihrem Cluster sicher, dass Sie von migrieren PSP zum eingebauten Kubernetes PSS oder zu einer policy-as-code Lösung, bevor Sie Ihren Cluster auf Version aktualisieren1.25
. Wenn Sie nicht von migrierenPSP, kann es zu Unterbrechungen Ihrer Workloads kommen. Weitere Informationen finden Sie in den Sicherheitsrichtlinien zur Migration von veralteten Pods () PSP. -
Kubernetes
1.25
Diese Version enthält Änderungen, die das Verhalten einer bestehenden Funktion ändern, die als API Priority and Fairness (APF) bekannt ist. APFdient dazu, den API Server vor potenzieller Überlastung in Zeiten erhöhten Anforderungsvolumens zu schützen. Dies geschieht, indem die Anzahl der gleichzeitigen Anfragen, die zu einem bestimmten Zeitpunkt bearbeitet werden können, begrenzt wird. Es wird durch die Anwendung unterschiedlicher Prioritätsstufen und Grenzwerte für Anfragen erreicht, die von verschiedenen Workloads oder Benutzern stammen. Dieser Ansatz stellt sicher, dass kritische Anwendungen oder Anfragen mit hoher Priorität bevorzugt behandelt werden, während gleichzeitig verhindert wird, dass Anfragen mit niedrigerer Priorität den Server überfordern. API Weitere Informationen finden Sie unter APIPriorität und Fairnessim Kubernetes Dokumentation zu APIPriorität und Fairness im EKS Best Practices-Leitfaden. Diese Updates wurden eingeführt in PR #10352
und PR #118601 . Bisher wurden alle Arten von Anfragen einheitlich APF behandelt, wobei jede Anfrage eine einzelne Einheit des Limits für gleichzeitige Anfragen beanspruchte. Durch die APF Verhaltensänderung werden Anfragen höhere Parallelitätseinheiten zugewiesen, da der API Server durch diese LIST
Anfragen außergewöhnlich stark belastet wird. Der API Server schätzt die Anzahl der Objekte, die von einerLIST
Anfrage zurückgegeben werden. Er weist eine Parallelitätseinheit zu, die proportional zur Anzahl der zurückgegebenen Objekte ist.Beim Upgrade auf EKS Amazon-Version
1.25
oder höher kann dieses aktualisierte Verhalten dazu führen, dass bei Workloads mit hohenLIST
Anforderungen (die zuvor problemlos funktionierten) Ratenbegrenzungen auftreten. Dies würde durch einen HTTP 429-Antwortcode angezeigt werden. Um mögliche Workloadunterbrechungen aufgrund vonLIST
zu vermeiden, da die Anzahl der Anfragen begrenzt ist, empfehlen wir Ihnen dringend, Ihre Workloads umzustrukturieren, um die Anzahl dieser Anfragen zu reduzieren. Alternativ können Sie dieses Problem beheben, indem Sie die APF Einstellungen anpassen, um mehr Kapazität für wichtige Anfragen zuzuweisen und gleichzeitig die für nicht wichtige Anfragen zugewiesene Kapazität zu reduzieren. Weitere Informationen zu diesen Risikominderungstechniken finden Sie unter Vermeidung verworfener Anfragen imEKS Best Practices-Leitfaden. -
Amazon EKS
1.25
bietet Verbesserungen an der Cluster-Authentifizierung, die aktualisierte YAML Bibliotheken. Wenn ein YAML Der imkube-system
Namespaceaws-auth
ConfigMap
gefundene Wert beginnt mit einem Makro, wobei das erste Zeichen eine geschweifte Klammer ist. Sie sollten vor und nach den geschweiften Klammern (" "
) Anführungszeichen () hinzufügen.{ }
Dies ist erforderlich, um sicherzustellen, dass dieaws-iam-authenticator
Version dieaws-auth
ConfigMap
in Amazonv0.6.3
EKS1.25
korrekt analysiert. -
Die API Betaversion (
discovery.k8s.io/v1beta1
) vonEndpointSlice
war veraltet in Kubernetes1.21
und wird ab sofort nicht mehr bereitgestellt Kubernetes1.25
. Dies API wurde aktualisiert aufdiscovery.k8s.io/v1
. Weitere Informationen finden Sie EndpointSlicein der Kubernetes -Dokumentation. Das Tool AWS Load Balancer Controller v2.4.6
und nutzte früher denv1beta1
Endpunkt für die Kommunikation mitEndpointSlices
. Wenn Sie dieEndpointSlices
Konfiguration für die verwenden AWS Load Balancer Controller, Sie müssen ein Upgrade durchführen auf AWS Load Balancer Controllerv2.4.7
bevor Sie Ihr EKS Amazon-Cluster auf aktualisieren1.25
. Wenn Sie ein Upgrade auf durchführen,1.25
während Sie dieEndpointSlices
Konfiguration für den verwenden AWS Load Balancer Controller, stürzt der Controller ab und führt zu Unterbrechungen Ihrer Workloads. Informationen zum Upgrade des Controllers finden Sie unter Internetverkehr mit dem AWS Load Balancer Controller weiterleiten. -
Die API Betaversion (
autoscaling/v2beta1
) von HorizontalPodAutoscaler wird ab Kubernetes nicht mehr bereitgestellt.1.25
Dies API war in der Version veraltet.1.23
Migrieren Sie Manifeste und API Clients, um die Version zu verwenden.autoscaling/v2
HorizontalPodAutoscaler API Weitere Informationen finden Sie in der Kubernetes-Dokumentation.
-
SeccompDefault
wird in die Beta-Version hochgestuft Kubernetes1.25
. Wenn Sie das--seccomp-default
Flag bei der Konfiguration setzenkubelet
, verwendet die Container-Laufzeit ihrRuntimeDefaultseccomp
Profil und nicht den unconfined (seccomp disabled
) -Modus. Die Standardprofile bieten eine Reihe starker Sicherheitsstandards und behalten gleichzeitig die Funktionalität des Workloads bei. Obwohl dieses Flag verfügbar ist, aktiviert Amazon dieses Flag standardmäßig EKS nicht, sodass EKS das Verhalten von Amazon praktisch unverändert bleibt. Wenn Sie möchten, können Sie damit beginnen, dies auf Ihren Knoten zu aktivieren. Weitere Informationen finden Sie im Tutorial Restrict a Containers Syscalls with seccompim Kubernetes -Dokumentation. -
Support für das Container Runtime Interface (CRI) für Docker (auch bekannt als dockershim) wurde entfernt von Kubernetes
1.24
und später. Die einzige EKS offizielle Container-Laufzeit bei Amazon AMIs for Kubernetes1.24
und spätere Cluster sind containerd. Entfernen Sie vor dem Upgrade auf Amazon EKS1.24
oder später alle Verweise auf Bootstrap-Skript-Flags, die nicht mehr unterstützt werden. Weitere Informationen finden Sie unter Migrieren von dockershim zu containerd. -
Die Unterstützung für Platzhalterabfragen war in veraltet CoreDNS
1.8.7
und entfernt in CoreDNS1.9
. Dies wurde als Sicherheitsmaßnahme durchgeführt. Wildcard-Abfragen funktionieren nicht mehr und kehren zurück NXDOMAIN statt einer IP-Adresse. -
Die Goaway-Chance-Option
in der Kubernetes APIServer verhindert, dass HTTP/2
Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version1.25
hatgoaway-chance
Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY
bei Verbindungsabbruch erneut eine Verbindung herstellt.
Für das komplette Kubernetes 1.25
Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.25.md#
Kubernetes 1.24
Kubernetes 1.24
ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.24
, siehe die offizielle Ankündigung der Veröffentlichung
Wichtig
-
Beginnend mit Kubernetes
1.24
, neue APIs Betaversionen sind standardmäßig nicht in Clustern aktiviert. Standardmäßig sind bestehende Betaversionen APIs und neue Versionen vorhandener Betaversionen APIs weiterhin aktiviert. Amazon EKS folgt dem gleichen Verhalten wie Upstream Kubernetes1.24
. Die Feature-Gates, die neue Funktionen sowohl für neue als auch für bestehende API Operationen steuern, sind standardmäßig aktiviert. Dies steht im Einklang mit Upstream Kubernetes. Weitere Informationen finden Sie unter KEP-3136: Beta APIs ist standardmäßig ausgeschaltet. GitHub -
Support für Container Runtime Interface (CRI) für Docker (auch bekannt als
dockershim
) wurde entfernt von Kubernetes1.24
. EKSOffizielle Amazon-Mitarbeiter AMIs haben containerd als einzige Laufzeit. Bevor Sie zu Amazon EKS1.24
oder höher wechseln, müssen Sie alle Verweise auf Bootstrap-Skript-Flags entfernen, die nicht mehr unterstützt werden. Sie müssen außerdem sicherstellen, dass die IP-Weiterleitung für Ihre Worker-Knoten aktiviert ist. Weitere Informationen finden Sie unter Migrieren von dockershim zu containerd. -
Wenn Sie das bereits getan haben Fluentd konfiguriert für Container Insights, dann müssen Sie migrieren Fluentd to Fluent Bit bevor Sie Ihren Cluster aktualisieren. Das Tool Fluentd Parser sind so konfiguriert, dass sie Protokollnachrichten nur im JSON Format analysieren. Im
dockerd
Gegensatz dazu enthält diecontainerd
Container-Laufzeit Protokollnachrichten, die nicht formatiert JSON sind. Wenn Sie nicht migrieren zu Fluent Bit, einige der konfigurierten Fluentd’s Parser werden eine große Anzahl von Fehlern innerhalb des erzeugen Fluentd Behälter. Weitere Informationen zur Migration finden Sie unter Fluent Bit einrichten, um Logs an Logs DaemonSet zu CloudWatch senden. -
In Kubernetes
1.23
und früher wurdenkubelet
Serverzertifikate mit nicht verifizierbarer IP-Adresse und alternativen DNS Betreffnamen (SANs) automatisch mit nicht verifizierbaren Namen ausgestellt. SANs Diese nicht überprüfbaren Daten SANs werden im bereitgestellten Zertifikat nicht berücksichtigt. In Clustern der Version1.24
und neueren Versionen werdenkubelet
keine Serverzertifikate ausgestellt, wenn keine verifiziert SAN werden können. Dadurch wird verhindert, dass die Befehlekubectl
-exec undkubectl
-logs funktionieren. Weitere Informationen finden Sie unter Überlegungen zur Zertifikatsignierung vor dem Upgrade Ihres Clusters auf Kubernetes 1.24. -
Beim Upgrade eines EKS
1.23
Amazon-Clusters, der Fluent Bit, müssen Sie sicherstellen, dass es läuftk8s/1.3.12
oder später. Sie können dies tun, indem Sie die jeweils aktuelle Version erneut anwenden Fluent Bit YAMLDatei von GitHub. Weitere Informationen finden Sie unter Fluent Bit einrichten im CloudWatch Amazon-Benutzerhandbuch.
-
Sie können Topology Aware Hints verwenden, um anzugeben, dass Sie es vorziehen, den Datenverkehr in einer Zone zu halten, wenn Cluster-Worker-Knoten über mehrere Availability Zones bereitgestellt werden. Das Routing des Datenverkehrs innerhalb einer Zone kann dazu beitragen, die Kosten zu senken und die Netzwerkleistung zu verbessern. Standardmäßig sind Topology Aware Hints in Amazon EKS
1.24
aktiviert. Weitere Informationen finden Sie unter Topology Aware Hintsim Kubernetes -Dokumentation. -
Das
PodSecurityPolicy
(PSP) soll in entfernt werden Kubernetes1.25
. PSPs werden durch Pod Security Admission (PSA)ersetzt. PSAist ein integrierter Zugangscontroller, der die in den Pod Security Standards (PSS) beschriebenen Sicherheitskontrollen verwendet. PSAund PSS sind beide Beta-Funktionen und sind EKS standardmäßig in Amazon aktiviert. Um das Entfernen von zu beheben PSP In der Version empfehlen wir 1.25
, dass Sie sie PSS in Amazon implementierenEKS. Weitere Informationen finden Sie im AWS Blog unter Implementierung von Pod-Sicherheitsstandards in EKS Amazon. -
Das
client.authentication.k8s.io/v1alpha1
ExecCredential ist entfernt in Kubernetes1.24
. Das ExecCredential API war allgemein verfügbar in Kubernetes1.22
. Wenn Sie ein Plug-in für Client-Go-Anmeldeinformationen verwenden, das auf dem basiert, wenden Sie sich an den Händler Ihres Pluginsv1alpha1
API, um zu erfahren, wie Sie auf das migrieren können.v1
API -
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Kubernetes
1.24
, haben wir eine Funktion zum Upstream-Projekt Cluster Autoscaler beigetragen, die die Skalierung von von Amazon EKS verwalteten Knotengruppen auf und von Nullknoten vereinfacht. Bisher mussten Sie, damit der Cluster Autoscaler die Ressourcen, Labels und Schwächen einer verwalteten Knotengruppe, die auf null Knoten skaliert wurde, verstehen, die zugrunde liegende Amazon EC2 Auto Scaling Scaling-Gruppe mit den Details der Knoten kennzeichnen, für die sie verantwortlich war. Wenn es nun keine laufenden Knoten in der verwalteten Knotengruppe gibt, ruft der Cluster Autoscaler den EKSDescribeNodegroup
API Amazon-Vorgang auf. Dieser API Vorgang liefert die Informationen, die der Cluster Autoscaler über die Ressourcen, Labels und Fehler der verwalteten Knotengruppe benötigt. Für diese Funktion müssen Sie dieeks:DescribeNodegroup
entsprechende Berechtigung zur Cluster-Autoscaler-Dienstkontorichtlinie hinzufügen. IAM Wenn der Wert eines Cluster-Autoscaler-Tags in der Auto Scaling-Gruppe, die eine von Amazon EKS verwaltete Knotengruppe unterstützt, mit der Knotengruppe selbst in Konflikt steht, bevorzugt der Cluster Autoscaler den Wert des Auto Scaling Scaling-Gruppen-Tags. Auf diese Weise können Sie Werte nach Bedarf überschreiben. Weitere Informationen finden Sie unter Cluster-Autoscaler. -
Wenn Sie beabsichtigen zu verwenden Inferentia or Trainium Instance-Typen bei Amazon EKS
1.24
, Sie müssen ein Upgrade auf die AWS Neuron Geräte-Plug-in-Version 1.9.3.0 oder höher. Weitere Informationen finden Sie in der Neuron K8-Version [1.9.3.0] im AWS Neuron Dokumentation. -
Containerd
IPv6
hat aktiviert für Pods, standardmäßig. Es wendet die Knoten-Kernel-Einstellungen an auf Pod Netzwerk-Namespaces. Aus diesem Grund befinden sich Container in einem Pod bindet sowohl anIPv4
(127.0.0.1
) als auch anIPv6
(::1
) Loopback-Adressen.IPv6
ist das Standardprotokoll für die Kommunikation. Bevor Sie Ihren Cluster auf Version aktualisieren1.24
, empfehlen wir Ihnen, Ihren Multicontainer zu testen Pods. Ändern Sie Apps so, dass sie an alle IP-Adressen auf Loopback-Schnittstellen gebunden werden können. Die meisten Bibliotheken ermöglichen dasIPv6
-Binden, das mitIPv4
abwärtskompatibel ist. Wenn es nicht möglich ist, Ihren Anwendungscode zu ändern, haben Sie zwei Möglichkeiten:-
Führen Sie einen
init
-Container aus und setzen Siedisable ipv6
auftrue
(sysctl -w net.ipv6.conf.all.disable_ipv6=1
). -
Konfigurieren Sie einen Webhook mit mutierender Zulassung, um einen Container zusammen
mit Ihrer Anwendung einzufügen init
Pods.
Wenn Sie für alle blockieren müssen
IPv6
Pods Für alle Knoten müssen Sie die Option möglicherweiseIPv6
auf Ihren Instanzen deaktivieren. -
-
Die Goaway-Chance-Option
in der Kubernetes APIServer verhindert, dass HTTP/2
Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version1.24
hatgoaway-chance
Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY
bei Verbindungsabbruch erneut eine Verbindung herstellt.
Für das komplette Kubernetes 1.24
Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.24.md#
Kubernetes 1.23
Kubernetes 1.23
ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.23
, siehe die offizielle Ankündigung der Veröffentlichung
Wichtig
-
Das Tool Kubernetes Die Funktion zur Volumenmigration zwischen Baum und Container Storage Interface (CSI) ist aktiviert. Diese Funktion ermöglicht den Ersatz vorhandener Kubernetes In-Tree-Speicher-Plugins für Amazon EBS mit einem entsprechenden EBS CSI Amazon-Treiber. Weitere Informationen finden Sie unter Kubernetes 1.17-Feature: Kubernetes In-Tree to Volume Migration wechselt zur CSI
Betaversion auf der Kubernetes Blog. Die Funktion übersetzt In-Tree APIs in Äquivalent CSI APIs und delegiert Operationen an einen CSI Ersatztreiber. Wenn Sie mit dieser Funktion vorhandene,, und
PersistentVolumeClaim
Objekte verwendenStorageClass
PersistentVolume
, die zu diesen Workloads gehören, wird es wahrscheinlich keine spürbare Änderung geben. Die Funktion ermöglicht Kubernetes um alle Speicherverwaltungsvorgänge vom In-Tree-Plugin an den Treiber zu delegieren. CSI Wenn Sie EBS Amazon-Volumes in einem vorhandenen Cluster verwenden, installieren Sie den EBS CSI Amazon-Treiber in Ihrem Cluster, bevor Sie Ihren Cluster auf Version aktualisieren1.23
. Wenn Sie den Treiber nicht installieren, bevor Sie einen vorhandenen Cluster aktualisiert haben, kann es zu Unterbrechungen Ihrer Workloads kommen. Wenn Sie Workloads bereitstellen möchten, die EBS Amazon-Volumes in einem neuen1.23
Cluster verwenden, installieren Sie den EBS CSI Amazon-Treiber in Ihrem Cluster, bevor Sie die Workloads in Ihrem Cluster bereitstellen. Anweisungen zur Installation des EBS CSI Amazon-Treibers auf Ihrem Cluster finden Sie unterSpeichern Sie Kubernetes-Volumes bei Amazon EBS. Häufig gestellte Fragen zum Migrationsfeature finden Sie unter Häufig gestellte Fragen EBS CSI zur Amazon-Migration. -
Erweiterter Support für Amazon EKS optimiert Windows AMIsdie veröffentlicht wurden von AWS ist nicht verfügbar für Kubernetes Version ist
1.23
aber verfügbar für Kubernetes Version1.24
und höher.
-
Kubernetes Die Unterstützung wurde
dockershim
in der Version eingestellt1.20
unddockershim
in der Version entfernt1.24
. Weitere Informationen finden Sie unter Kubernetes is Moving on From Dockersheim: Commitments and Next Steps inder Kubernetes Blog. Amazon EKS wird den Support für den dockershim
Start in der EKS Amazon-Version beenden1.24
. Ab der EKS Amazon-Version1.24
AMIs wird Amazon EKS Officialcontainerd
die einzige Laufzeit haben.Auch wenn die EKS Amazon-Version
1.23
weiterhin unterstützt wirddockershim
, empfehlen wir Ihnen, Ihre Anwendungen jetzt zu testen, um alle zu identifizieren und zu entfernen Docker Abhängigkeiten. So sind Sie bereit, Ihren Cluster auf die Version1.24
zu aktualisieren. Weitere Informationen über das Entfernen vondockershim
finden Sie unter Migrieren von dockershim zu containerd. -
Kubernetes graduiertes
IPv4
/IPv6
Dual-Stack-Netzwerk für Pods, Dienste und Knoten bis zur allgemeinen Verfügbarkeit. Amazon EKS und die Amazon VPC CNI plugin for Kubernetes unterstützen keine Dual-Stack-Netzwerke. Ihre Cluster könnenIPv6
Adressen zuweisenIPv4
Pods und Diensten, aber es können nicht beide Adresstypen zugewiesen werden. -
Kubernetes hat die Funktion Pod Security Admission (PSA) auf Betaversion umgestellt. Das Feature ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Pod Security Admission
im Kubernetes -Dokumentation. PSAersetzt die Pod-Sicherheitsrichtlinie (PSP) Zugangscontroller. Der PSP Zugangscontroller wird nicht unterstützt und wird voraussichtlich in entfernt Kubernetes Version 1.25
.Das Tool PSP Der Zulassungscontroller erzwingt Pod Sicherheitsstandards für Pods in einem Namespace, der auf bestimmten Namespace-Labels basiert, die die Durchsetzungsstufe festlegen. Weitere Informationen finden Sie unter Pod-Sicherheitsstandards (PSS) und Pod-Sicherheitszulassung (PSA)
im EKS Amazon-Best-Practices-Leitfaden. -
Das mit Clustern bereitgestellte
kube-proxy
Image ist jetzt das minimale Basis-Image, das von Amazon EKS Distro (EKS-D) verwaltet wird. Das Image enthält minimale Pakete und weist keine Shells oder Paketmanager auf. -
Kubernetes hat kurzlebige Container auf Betaversion umgestellt. Ephemere Container sind temporäre Container, die im selben Namespace laufen wie ein vorhandener Pod. Sie können sie verwenden, um den Zustand von zu beobachten Pods und Container für Problembehebungs- und Debugging-Zwecke. Dies ist insbesondere für die interaktive Fehlerbehebung hilfreich, wenn
kubectl exec
unzureichend ist, weil entweder ein Container abgestürzt ist oder ein Container-Image keine Debugging-Dienstprogramme enthält. Ein Beispiel für einen Container, der ein Debugging-Dienstprogramm enthält, sind „distroless“ Images. Weitere Informationen finden Sie unter Debuggen mit einem kurzlebigen Debug-Container im Kubernetes -Dokumentation. -
Kubernetes hat den
HorizontalPodAutoscaler
autoscaling/v2
Stable auf allgemeine Verfügbarkeit umgestelltAPI. DasHorizontalPodAutoscaler
autoscaling/v2beta2
API ist veraltet. Es wird in1.26
nicht verfügbar sein. -
Die Goaway-Chance-Option
in der Kubernetes APIServer verhindert, dass HTTP/2
Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version1.23
hatgoaway-chance
Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY
bei Verbindungsabbruch erneut eine Verbindung herstellt.
Für das komplette Kubernetes 1.23
Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.23.md#