Lesen Sie die Versionshinweise für Kubernetes Versionen mit erweitertem Support - Amazon EKS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lesen Sie die Versionshinweise für Kubernetes Versionen mit erweitertem Support

Dieses Thema enthält wichtige Änderungen, auf die Sie bei jeder einzelnen Version achten sollten Kubernetes Version mit erweiterter Unterstützung. Überprüfen Sie beim Upgrade sorgfältig die Änderungen, die zwischen der alten und der neuen Version für Ihren Cluster vorgenommen wurden.

Kubernetes 1.27

Kubernetes 1.27ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.27, siehe die offizielle Ankündigung der Veröffentlichung.

Wichtig
  • Die Unterstützung für die Alpha-seccomp-Anmerkungen und die Anmerkungen seccomp.security.alpha.kubernetes.io/pod und container.seccomp.security.alpha.kubernetes.io wurde entfernt. Die Alpha-seccomp-Anmerkungen sind seit 1.19 veraltet. Aufgrund ihrer Entfernung in 1.27 werden seccomp-Felder für Pods nicht mehr automatisch mit seccomp-Anmerkungen gefüllt. Verwenden Sie stattdessen das Feld securityContext.seccompProfile für Pods oder Container, um seccomp-Profile zu konfigurieren. Um zu überprüfen, ob Sie die veralteten Alpha-seccomp-Anmerkungen im Cluster verwenden, führen Sie den folgenden Befehl aus:

    kubectl get pods --all-namespaces -o json | grep -E 'seccomp.security.alpha.kubernetes.io/pod|container.seccomp.security.alpha.kubernetes.io'
  • Das Befehlszeilenargument --container-runtime für das kubelet wurde entfernt. EKScontainerdSeitdem ist die Standard-Container-Laufzeit für Amazon gültig1.24, sodass die Container-Laufzeit nicht mehr angegeben werden muss. Von 1.27 nun an ignoriert Amazon EKS das --container-runtime Argument, das an alle Bootstrap-Skripte übergeben wird. Es ist wichtig, dass Sie dieses Argument nicht an übergeben, um --kubelet-extra-args Fehler während des Node-Bootstrap-Prozesses zu vermeiden. Sie müssen das Argument --container-runtime aus allen Workflows und Build-Skripten zur Knotenerstellung entfernen.

  • Der Eingang kubelet Kubernetes 1.27Die Standardeinstellung wurde kubeAPIQPS auf 50 und kubeAPIBurst auf erhöht100. Diese Verbesserungen ermöglichen es, ein höheres Volumen an API Anfragen kubelet zu verarbeiten, wodurch die Antwortzeiten und die Leistung verbessert werden. Wenn der Bedarf an Pods aufgrund von Skalierungsanforderungen steigt, stellen die überarbeiteten Standardwerte sicher, dass das kubelet die höhere Workload effizient bewältigen kann. Infolgedessen sind Pod-Starts schneller und Clustervorgänge effektiver.

  • Zur Verteilung von Richtlinien wie minDomain können Sie eine detailliertere Pod-Topologie verwenden. Mit diesem Parameter können Sie die Mindestanzahl von Domains angeben, auf die die Pods verteilt werden sollen. nodeAffinityPolicy und nodeTaintPolicy ermöglichen ein zusätzliches Maß an Granularität bei der Steuerung der Pod-Verteilung. Dies entspricht den Knotenaffinitäten, den Taints und dem Feld matchLabelKeys in den topologySpreadConstraints der Spezifikation Ihres Pod’s. Das ermöglicht die Auswahl von Pods für Verteilungsberechnungen nach einem fortlaufenden Upgrade.

  • Kubernetes 1.27  hat einen neuen Richtlinienmechanismus für StatefulSets, der die Lebensdauer der PersistentVolumeClaims (PVCs) steuert, zur Beta-Version hochgestuft. Mit der neuen PVC-Aufbewahrungsrichtlinie können Sie angeben, ob die anhand der Spezifikationsvorlage StatefulSet generierten PVCs automatisch gelöscht oder beibehalten werden, wenn das StatefulSet gelöscht wird oder die Replikate im StatefulSet herunterskaliert werden.

  • Die Goaway-Chance-Option in der Kubernetes APIServer verhindert, dass HTTP/2 Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version 1.27 hat goaway-chance Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY bei Verbindungsabbruch erneut eine Verbindung herstellt.

Für das komplette Kubernetes 1.27Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.27.md# 1260.

Kubernetes 1.26

Kubernetes 1.26ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.26, siehe die offizielle Ankündigung der Veröffentlichung.

Wichtig

Kubernetes 1.26unterstützt nicht mehr CRI v1alpha2. Dies führt dazu, kubelet dass der Knoten nicht mehr registriert wird, wenn die Container-Laufzeit dies nicht unterstützt CRI v1. Das bedeutet auch, dass Kubernetes 1.26unterstützt keine containerd-Nebenversionen 1.5 und frühere Versionen. Wenn Sie containerd verwenden, müssen Sie auf die containerd-Version 1.6.0 oder höher aktualisieren, bevor Sie Knoten aktualisieren auf Kubernetes 1.26. Sie müssen auch alle anderen Container-Laufzeiten aktualisieren, die nur das v1alpha2 unterstützen. Weitere Informationen erhalten Sie beim Anbieter der Container-Laufzeit. Standardmäßig Amazon Linux and Bottlerocket AMIscontainerd die Containerversion1.6.6.

  • Vor dem Upgrade auf Kubernetes 1.26, aktualisiere dein Amazon VPC CNI plugin for Kubernetes auf Version 1.12 oder höher. Wenn Sie nicht auf upgraden Amazon VPC CNI plugin for Kubernetes Version 1.12 oder höher, die Amazon VPC CNI plugin for Kubernetes wird abstürzen. Weitere Informationen finden Sie unter Amazon VPC CNI.

  • Die Goaway-Chance-Option in der Kubernetes APIServer verhindert, dass HTTP/2 Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version 1.26 hat goaway-chance Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY bei Verbindungsabbruch erneut eine Verbindung herstellt.

Für das komplette Kubernetes 1.26Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.26.md# 1250.

Kubernetes 1.25

Kubernetes 1.25ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.25, siehe die offizielle Ankündigung der Veröffentlichung.

Wichtig
  • EC2P2Amazon-Instances werden auf Amazon nicht unterstütztEKS, da sie die NVIDIA Treiberversion 470 oder früher benötigen.

  • PodSecurityPolicy (PSP) wurde entfernt in Kubernetes 1.25. PSPs wurden durch die Sicherheitsstandards Pod Security Admission (PSA) und Pod ersetzt (PSS). PSA ist ein integrierter Zugangscontroller, der die in der beschriebenen Sicherheitskontrollen implementiert PSS. PSA and PSS sind graduiert, um stabil zu sein in Kubernetes 1.25und sind EKS standardmäßig in Amazon aktiviert. Wenn du PSPs Stellen Sie in Ihrem Cluster sicher, dass Sie von migrieren PSP zum eingebauten Kubernetes PSS oder zu einer policy-as-code Lösung, bevor Sie Ihren Cluster auf Version aktualisieren1.25. Wenn Sie nicht von migrierenPSP, kann es zu Unterbrechungen Ihrer Workloads kommen. Weitere Informationen finden Sie in den Sicherheitsrichtlinien zur Migration von veralteten Pods () PSP.

  • Kubernetes 1.25Diese Version enthält Änderungen, die das Verhalten einer bestehenden Funktion ändern, die als API Priority and Fairness (APF) bekannt ist. APFdient dazu, den API Server vor potenzieller Überlastung in Zeiten erhöhten Anforderungsvolumens zu schützen. Dies geschieht, indem die Anzahl der gleichzeitigen Anfragen, die zu einem bestimmten Zeitpunkt bearbeitet werden können, begrenzt wird. Es wird durch die Anwendung unterschiedlicher Prioritätsstufen und Grenzwerte für Anfragen erreicht, die von verschiedenen Workloads oder Benutzern stammen. Dieser Ansatz stellt sicher, dass kritische Anwendungen oder Anfragen mit hoher Priorität bevorzugt behandelt werden, während gleichzeitig verhindert wird, dass Anfragen mit niedrigerer Priorität den Server überfordern. API Weitere Informationen finden Sie unter APIPriorität und Fairness im Kubernetes Dokumentation zu APIPriorität und Fairness im EKS Best Practices-Leitfaden.

    Diese Updates wurden eingeführt in PR #10352 und PR #118601. Bisher wurden alle Arten von Anfragen einheitlich APF behandelt, wobei jede Anfrage eine einzelne Einheit des Limits für gleichzeitige Anfragen beanspruchte. Durch die APF Verhaltensänderung werden Anfragen höhere Parallelitätseinheiten zugewiesen, da der API Server durch diese LIST Anfragen außergewöhnlich stark belastet wird. Der API Server schätzt die Anzahl der Objekte, die von einer LIST Anfrage zurückgegeben werden. Er weist eine Parallelitätseinheit zu, die proportional zur Anzahl der zurückgegebenen Objekte ist.

    Beim Upgrade auf EKS Amazon-Version 1.25 oder höher kann dieses aktualisierte Verhalten dazu führen, dass bei Workloads mit hohen LIST Anforderungen (die zuvor problemlos funktionierten) Ratenbegrenzungen auftreten. Dies würde durch einen HTTP 429-Antwortcode angezeigt werden. Um mögliche Workloadunterbrechungen aufgrund von LIST zu vermeiden, da die Anzahl der Anfragen begrenzt ist, empfehlen wir Ihnen dringend, Ihre Workloads umzustrukturieren, um die Anzahl dieser Anfragen zu reduzieren. Alternativ können Sie dieses Problem beheben, indem Sie die APF Einstellungen anpassen, um mehr Kapazität für wichtige Anfragen zuzuweisen und gleichzeitig die für nicht wichtige Anfragen zugewiesene Kapazität zu reduzieren. Weitere Informationen zu diesen Risikominderungstechniken finden Sie unter Vermeidung verworfener Anfragen im EKS Best Practices-Leitfaden.

  • Amazon EKS 1.25 bietet Verbesserungen an der Cluster-Authentifizierung, die aktualisierte YAML Bibliotheken. Wenn ein YAML Der im kube-system Namespace aws-auth ConfigMap gefundene Wert beginnt mit einem Makro, wobei das erste Zeichen eine geschweifte Klammer ist. Sie sollten vor und nach den geschweiften Klammern (" ") Anführungszeichen () hinzufügen. { } Dies ist erforderlich, um sicherzustellen, dass die aws-iam-authenticator Version die aws-auth ConfigMap in Amazon v0.6.3 EKS 1.25 korrekt analysiert.

  • Die API Betaversion (discovery.k8s.io/v1beta1) von EndpointSlice war veraltet in Kubernetes 1.21und wird ab sofort nicht mehr bereitgestellt Kubernetes 1.25. Dies API wurde aktualisiert aufdiscovery.k8s.io/v1. Weitere Informationen finden Sie EndpointSlicein der Kubernetes -Dokumentation. Das Tool AWS Load Balancer Controller v2.4.6und nutzte früher den v1beta1 Endpunkt für die Kommunikation mitEndpointSlices. Wenn Sie die EndpointSlices Konfiguration für die verwenden AWS Load Balancer Controller, Sie müssen ein Upgrade durchführen auf AWS Load Balancer Controller v2.4.7bevor Sie Ihr EKS Amazon-Cluster auf aktualisieren1.25. Wenn Sie ein Upgrade auf durchführen, 1.25 während Sie die EndpointSlices Konfiguration für den verwenden AWS Load Balancer Controller, stürzt der Controller ab und führt zu Unterbrechungen Ihrer Workloads. Informationen zum Upgrade des Controllers finden Sie unter Internetverkehr mit dem AWS Load Balancer Controller weiterleiten.

  • Die API Betaversion (autoscaling/v2beta1) von HorizontalPodAutoscaler wird ab Kubernetes nicht mehr bereitgestellt. 1.25 Dies API war in der Version veraltet. 1.23 Migrieren Sie Manifeste und API Clients, um die Version zu verwenden. autoscaling/v2 HorizontalPodAutoscaler API Weitere Informationen finden Sie in der Kubernetes-Dokumentation.

  • SeccompDefaultwird in die Beta-Version hochgestuft Kubernetes 1.25. Wenn Sie das --seccomp-default Flag bei der Konfiguration setzenkubelet, verwendet die Container-Laufzeit ihr RuntimeDefaultseccomp Profil und nicht den unconfined (seccomp disabled) -Modus. Die Standardprofile bieten eine Reihe starker Sicherheitsstandards und behalten gleichzeitig die Funktionalität des Workloads bei. Obwohl dieses Flag verfügbar ist, aktiviert Amazon dieses Flag standardmäßig EKS nicht, sodass EKS das Verhalten von Amazon praktisch unverändert bleibt. Wenn Sie möchten, können Sie damit beginnen, dies auf Ihren Knoten zu aktivieren. Weitere Informationen finden Sie im Tutorial Restrict a Containers Syscalls with seccomp im Kubernetes -Dokumentation.

  • Support für das Container Runtime Interface (CRI) für Docker (auch bekannt als dockershim) wurde entfernt von Kubernetes 1.24und später. Die einzige EKS offizielle Container-Laufzeit bei Amazon AMIs for Kubernetes 1.24und spätere Cluster sind containerd. Entfernen Sie vor dem Upgrade auf Amazon EKS 1.24 oder später alle Verweise auf Bootstrap-Skript-Flags, die nicht mehr unterstützt werden. Weitere Informationen finden Sie unter Migrieren von dockershim zu containerd.

  • Die Unterstützung für Platzhalterabfragen war in veraltet CoreDNS 1.8.7und entfernt in CoreDNS 1.9. Dies wurde als Sicherheitsmaßnahme durchgeführt. Wildcard-Abfragen funktionieren nicht mehr und kehren zurück NXDOMAIN statt einer IP-Adresse.

  • Die Goaway-Chance-Option in der Kubernetes APIServer verhindert, dass HTTP/2 Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version 1.25 hat goaway-chance Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY bei Verbindungsabbruch erneut eine Verbindung herstellt.

Für das komplette Kubernetes 1.25Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.25.md# 1240.

Kubernetes 1.24

Kubernetes 1.24ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.24, siehe die offizielle Ankündigung der Veröffentlichung.

Wichtig
  • Beginnend mit Kubernetes 1.24, neue APIs Betaversionen sind standardmäßig nicht in Clustern aktiviert. Standardmäßig sind bestehende Betaversionen APIs und neue Versionen vorhandener Betaversionen APIs weiterhin aktiviert. Amazon EKS folgt dem gleichen Verhalten wie Upstream Kubernetes 1.24. Die Feature-Gates, die neue Funktionen sowohl für neue als auch für bestehende API Operationen steuern, sind standardmäßig aktiviert. Dies steht im Einklang mit Upstream Kubernetes. Weitere Informationen finden Sie unter KEP-3136: Beta APIs ist standardmäßig ausgeschaltet. GitHub

  • Support für Container Runtime Interface (CRI) für Docker (auch bekannt alsdockershim) wurde entfernt von Kubernetes 1.24. EKSOffizielle Amazon-Mitarbeiter AMIs haben containerd als einzige Laufzeit. Bevor Sie zu Amazon EKS 1.24 oder höher wechseln, müssen Sie alle Verweise auf Bootstrap-Skript-Flags entfernen, die nicht mehr unterstützt werden. Sie müssen außerdem sicherstellen, dass die IP-Weiterleitung für Ihre Worker-Knoten aktiviert ist. Weitere Informationen finden Sie unter Migrieren von dockershim zu containerd.

  • Wenn Sie das bereits getan haben Fluentd konfiguriert für Container Insights, dann müssen Sie migrieren Fluentd to Fluent Bit bevor Sie Ihren Cluster aktualisieren. Das Tool Fluentd Parser sind so konfiguriert, dass sie Protokollnachrichten nur im JSON Format analysieren. Im dockerd Gegensatz dazu enthält die containerd Container-Laufzeit Protokollnachrichten, die nicht formatiert JSON sind. Wenn Sie nicht migrieren zu Fluent Bit, einige der konfigurierten Fluentd’s Parser werden eine große Anzahl von Fehlern innerhalb des erzeugen Fluentd Behälter. Weitere Informationen zur Migration finden Sie unter Fluent Bit einrichten, um Logs an Logs DaemonSet zu CloudWatch senden.

  • In Kubernetes 1.23und früher wurden kubelet Serverzertifikate mit nicht verifizierbarer IP-Adresse und alternativen DNS Betreffnamen (SANs) automatisch mit nicht verifizierbaren Namen ausgestellt. SANs Diese nicht überprüfbaren Daten SANs werden im bereitgestellten Zertifikat nicht berücksichtigt. In Clustern der Version 1.24 und neueren Versionen werden kubelet keine Serverzertifikate ausgestellt, wenn keine verifiziert SAN werden können. Dadurch wird verhindert, dass die Befehle kubectl-exec und kubectl-logs funktionieren. Weitere Informationen finden Sie unter Überlegungen zur Zertifikatsignierung vor dem Upgrade Ihres Clusters auf Kubernetes 1.24.

  • Beim Upgrade eines EKS 1.23 Amazon-Clusters, der Fluent Bit, müssen Sie sicherstellen, dass es läuft k8s/1.3.12 oder später. Sie können dies tun, indem Sie die jeweils aktuelle Version erneut anwenden Fluent Bit YAMLDatei von GitHub. Weitere Informationen finden Sie unter Fluent Bit einrichten im CloudWatch Amazon-Benutzerhandbuch.

  • Sie können Topology Aware Hints verwenden, um anzugeben, dass Sie es vorziehen, den Datenverkehr in einer Zone zu halten, wenn Cluster-Worker-Knoten über mehrere Availability Zones bereitgestellt werden. Das Routing des Datenverkehrs innerhalb einer Zone kann dazu beitragen, die Kosten zu senken und die Netzwerkleistung zu verbessern. Standardmäßig sind Topology Aware Hints in Amazon EKS 1.24 aktiviert. Weitere Informationen finden Sie unter Topology Aware Hints im Kubernetes -Dokumentation.

  • Das PodSecurityPolicy (PSP) soll in entfernt werden Kubernetes 1.25. PSPs werden durch Pod Security Admission (PSA) ersetzt. PSAist ein integrierter Zugangscontroller, der die in den Pod Security Standards (PSS) beschriebenen Sicherheitskontrollen verwendet. PSAund PSS sind beide Beta-Funktionen und sind EKS standardmäßig in Amazon aktiviert. Um das Entfernen von zu beheben PSP In der Version empfehlen wir1.25, dass Sie sie PSS in Amazon implementierenEKS. Weitere Informationen finden Sie im AWS Blog unter Implementierung von Pod-Sicherheitsstandards in EKS Amazon.

  • Das client.authentication.k8s.io/v1alpha1 ExecCredential ist entfernt in Kubernetes 1.24. Das ExecCredential API war allgemein verfügbar in Kubernetes 1.22. Wenn Sie ein Plug-in für Client-Go-Anmeldeinformationen verwenden, das auf dem basiert, wenden Sie sich an den Händler Ihres Plugins v1alpha1API, um zu erfahren, wie Sie auf das migrieren können. v1 API

  • Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Kubernetes 1.24, haben wir eine Funktion zum Upstream-Projekt Cluster Autoscaler beigetragen, die die Skalierung von von Amazon EKS verwalteten Knotengruppen auf und von Nullknoten vereinfacht. Bisher mussten Sie, damit der Cluster Autoscaler die Ressourcen, Labels und Schwächen einer verwalteten Knotengruppe, die auf null Knoten skaliert wurde, verstehen, die zugrunde liegende Amazon EC2 Auto Scaling Scaling-Gruppe mit den Details der Knoten kennzeichnen, für die sie verantwortlich war. Wenn es nun keine laufenden Knoten in der verwalteten Knotengruppe gibt, ruft der Cluster Autoscaler den EKS DescribeNodegroup API Amazon-Vorgang auf. Dieser API Vorgang liefert die Informationen, die der Cluster Autoscaler über die Ressourcen, Labels und Fehler der verwalteten Knotengruppe benötigt. Für diese Funktion müssen Sie die eks:DescribeNodegroup entsprechende Berechtigung zur Cluster-Autoscaler-Dienstkontorichtlinie hinzufügen. IAM Wenn der Wert eines Cluster-Autoscaler-Tags in der Auto Scaling-Gruppe, die eine von Amazon EKS verwaltete Knotengruppe unterstützt, mit der Knotengruppe selbst in Konflikt steht, bevorzugt der Cluster Autoscaler den Wert des Auto Scaling Scaling-Gruppen-Tags. Auf diese Weise können Sie Werte nach Bedarf überschreiben. Weitere Informationen finden Sie unter Cluster-Autoscaler.

  • Wenn Sie beabsichtigen zu verwenden Inferentia or Trainium Instance-Typen bei Amazon EKS1.24, Sie müssen ein Upgrade auf die AWS Neuron Geräte-Plug-in-Version 1.9.3.0 oder höher. Weitere Informationen finden Sie in der Neuron K8-Version [1.9.3.0] im AWS Neuron Dokumentation.

  • ContainerdIPv6hat aktiviert für Pods, standardmäßig. Es wendet die Knoten-Kernel-Einstellungen an auf Pod Netzwerk-Namespaces. Aus diesem Grund befinden sich Container in einem Pod bindet sowohl an IPv4 (127.0.0.1) als auch an IPv6 (::1) Loopback-Adressen. IPv6ist das Standardprotokoll für die Kommunikation. Bevor Sie Ihren Cluster auf Version aktualisieren1.24, empfehlen wir Ihnen, Ihren Multicontainer zu testen Pods. Ändern Sie Apps so, dass sie an alle IP-Adressen auf Loopback-Schnittstellen gebunden werden können. Die meisten Bibliotheken ermöglichen das IPv6-Binden, das mit IPv4 abwärtskompatibel ist. Wenn es nicht möglich ist, Ihren Anwendungscode zu ändern, haben Sie zwei Möglichkeiten:

    Wenn Sie für alle blockieren müssen IPv6 Pods Für alle Knoten müssen Sie die Option möglicherweise IPv6 auf Ihren Instanzen deaktivieren.

  • Die Goaway-Chance-Option in der Kubernetes APIServer verhindert, dass HTTP/2 Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version 1.24 hat goaway-chance Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY bei Verbindungsabbruch erneut eine Verbindung herstellt.

Für das komplette Kubernetes 1.24Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.24.md# 1230.

Kubernetes 1.23

Kubernetes 1.23ist jetzt bei Amazon erhältlichEKS. Weitere Informationen zur Kubernetes 1.23, siehe die offizielle Ankündigung der Veröffentlichung.

Wichtig
  • Das Tool Kubernetes Die Funktion zur Volumenmigration zwischen Baum und Container Storage Interface (CSI) ist aktiviert. Diese Funktion ermöglicht den Ersatz vorhandener Kubernetes In-Tree-Speicher-Plugins für Amazon EBS mit einem entsprechenden EBS CSI Amazon-Treiber. Weitere Informationen finden Sie unter Kubernetes 1.17-Feature: Kubernetes In-Tree to Volume Migration wechselt zur CSI Betaversion auf der Kubernetes Blog.

    Die Funktion übersetzt In-Tree APIs in Äquivalent CSI APIs und delegiert Operationen an einen CSI Ersatztreiber. Wenn Sie mit dieser Funktion vorhandene,, und PersistentVolumeClaim Objekte verwenden StorageClassPersistentVolume, die zu diesen Workloads gehören, wird es wahrscheinlich keine spürbare Änderung geben. Die Funktion ermöglicht Kubernetes um alle Speicherverwaltungsvorgänge vom In-Tree-Plugin an den Treiber zu delegieren. CSI Wenn Sie EBS Amazon-Volumes in einem vorhandenen Cluster verwenden, installieren Sie den EBS CSI Amazon-Treiber in Ihrem Cluster, bevor Sie Ihren Cluster auf Version aktualisieren1.23. Wenn Sie den Treiber nicht installieren, bevor Sie einen vorhandenen Cluster aktualisiert haben, kann es zu Unterbrechungen Ihrer Workloads kommen. Wenn Sie Workloads bereitstellen möchten, die EBS Amazon-Volumes in einem neuen 1.23 Cluster verwenden, installieren Sie den EBS CSI Amazon-Treiber in Ihrem Cluster, bevor Sie die Workloads in Ihrem Cluster bereitstellen. Anweisungen zur Installation des EBS CSI Amazon-Treibers auf Ihrem Cluster finden Sie unterSpeichern Sie Kubernetes-Volumes bei Amazon EBS. Häufig gestellte Fragen zum Migrationsfeature finden Sie unter Häufig gestellte Fragen EBS CSI zur Amazon-Migration.

  • Erweiterter Support für Amazon EKS optimiert Windows AMIsdie veröffentlicht wurden von AWS ist nicht verfügbar für Kubernetes Version ist 1.23 aber verfügbar für Kubernetes Version 1.24 und höher.

  • Kubernetes Die Unterstützung wurde dockershim in der Version eingestellt 1.20 und dockershim in der Version entfernt1.24. Weitere Informationen finden Sie unter Kubernetes is Moving on From Dockersheim: Commitments and Next Steps in der Kubernetes Blog. Amazon EKS wird den Support für den dockershim Start in der EKS Amazon-Version beenden1.24. Ab der EKS Amazon-Version 1.24 AMIs wird Amazon EKS Official containerd die einzige Laufzeit haben.

    Auch wenn die EKS Amazon-Version 1.23 weiterhin unterstützt wirddockershim, empfehlen wir Ihnen, Ihre Anwendungen jetzt zu testen, um alle zu identifizieren und zu entfernen Docker Abhängigkeiten. So sind Sie bereit, Ihren Cluster auf die Version 1.24 zu aktualisieren. Weitere Informationen über das Entfernen von dockershim finden Sie unter Migrieren von dockershim zu containerd.

  • Kubernetes graduiertesIPv4/IPv6Dual-Stack-Netzwerk für Pods, Dienste und Knoten bis zur allgemeinen Verfügbarkeit. Amazon EKS und die Amazon VPC CNI plugin for Kubernetes unterstützen keine Dual-Stack-Netzwerke. Ihre Cluster können IPv6 Adressen zuweisen IPv4 Pods und Diensten, aber es können nicht beide Adresstypen zugewiesen werden.

  • Kubernetes hat die Funktion Pod Security Admission (PSA) auf Betaversion umgestellt. Das Feature ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Pod Security Admission im Kubernetes -Dokumentation. PSAersetzt die Pod-Sicherheitsrichtlinie (PSP) Zugangscontroller. Der PSP Zugangscontroller wird nicht unterstützt und wird voraussichtlich in entfernt Kubernetes Version1.25.

    Das Tool PSP Der Zulassungscontroller erzwingt Pod Sicherheitsstandards für Pods in einem Namespace, der auf bestimmten Namespace-Labels basiert, die die Durchsetzungsstufe festlegen. Weitere Informationen finden Sie unter Pod-Sicherheitsstandards (PSS) und Pod-Sicherheitszulassung (PSA) im EKS Amazon-Best-Practices-Leitfaden.

  • Das mit Clustern bereitgestellte kube-proxy Image ist jetzt das minimale Basis-Image, das von Amazon EKS Distro (EKS-D) verwaltet wird. Das Image enthält minimale Pakete und weist keine Shells oder Paketmanager auf.

  • Kubernetes hat kurzlebige Container auf Betaversion umgestellt. Ephemere Container sind temporäre Container, die im selben Namespace laufen wie ein vorhandener Pod. Sie können sie verwenden, um den Zustand von zu beobachten Pods und Container für Problembehebungs- und Debugging-Zwecke. Dies ist insbesondere für die interaktive Fehlerbehebung hilfreich, wenn kubectl exec unzureichend ist, weil entweder ein Container abgestürzt ist oder ein Container-Image keine Debugging-Dienstprogramme enthält. Ein Beispiel für einen Container, der ein Debugging-Dienstprogramm enthält, sind „distroless“ Images. Weitere Informationen finden Sie unter Debuggen mit einem kurzlebigen Debug-Container im Kubernetes -Dokumentation.

  • Kubernetes hat den HorizontalPodAutoscaler autoscaling/v2 Stable auf allgemeine Verfügbarkeit umgestelltAPI. Das HorizontalPodAutoscaler autoscaling/v2beta2 API ist veraltet. Es wird in 1.26 nicht verfügbar sein.

  • Die Goaway-Chance-Option in der Kubernetes APIServer verhindert, dass HTTP/2 Client-Verbindungen auf einer einzelnen API Serverinstanz hängen bleiben, indem eine Verbindung nach dem Zufallsprinzip geschlossen wird. Wenn die Verbindung geschlossen wird, versucht der Client, die Verbindung wiederherzustellen, und landet aufgrund des Lastenausgleichs wahrscheinlich auf einem anderen API Server. EKSDie Amazon-Version 1.23 hat goaway-chance Flag aktiviert. Wenn Ihr Workload, der auf dem EKS Amazon-Cluster ausgeführt wird, einen Client verwendet, der nicht kompatibel ist HTTPGOAWAY, empfehlen wir Ihnen, Ihren Client so zu aktualisieren, dass er GOAWAY bei Verbindungsabbruch erneut eine Verbindung herstellt.

Für das komplette Kubernetes 1.23Changelog, siehe https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOGchangelog-since-v-1.23.md# 1220.