Consultez les notes de publication pour Kubernetes les versions bénéficiant d'un support étendu - Amazon EKS
Kubernetes1,27Kubernetes1,26Kubernetes1,25Kubernetes1,24Kubernetes1,23

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tous.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Consultez les notes de publication pour Kubernetes les versions bénéficiant d'un support étendu

Cette rubrique présente les modifications importantes à prendre en compte pour chaque version de Kubernetes bénéficiant d'un support étendu. Lors de la mise à niveau, examinez attentivement les modifications apportées entre l'ancienne et la nouvelle version de votre cluster.

Kubernetes1,27

Kubernetes1.27est désormais disponible sur AmazonEKS. Pour plus d'informations sur Kubernetes 1.27, consultez l'annonce de la version officielle.

Important

  • La prise en charge des annotations alpha seccomp.security.alpha.kubernetes.io/pod et container.seccomp.security.alpha.kubernetes.iodes annotations seccomp a été supprimée. Les annotations alpha seccomp sont devenues obsolètes en 1.19, avec leur suppression de 1.27, les champs seccomp ne seront plus remplis automatiquement pour les Pods avec les annotations seccomp. Utilisez plutôt le champ securityContext.seccompProfile réservé aux conteneurs ou Pods pour configurer les profils seccomp. Pour vous assurer que vous utilisez la base d'annotations alpha seccomp obsolètes dans votre cluster, exécutez la commande suivante :

    kubectl get pods --all-namespaces -o json | grep -E 'seccomp.security.alpha.kubernetes.io/pod|container.seccomp.security.alpha.kubernetes.io'

  • L'argument de ligne de commande --container-runtime pour kubelet a été supprimé. L'environnement d'exécution du conteneur par défaut pour Amazon EKS a été containerd défini depuis1.24, ce qui élimine le besoin de spécifier le temps d'exécution du conteneur. 1.27À partir de maintenant, Amazon EKS ignorera l'--container-runtimeargument transmis aux scripts bootstrap. Il est important de ne pas transmettre cet argument à --kubelet-extra-args afin d'éviter les erreurs lors du processus d'amorçage du nœud. Vous devez supprimer l'argument --container-runtime de tous vos flux de travail de création de nœuds et de vos scripts de génération.

  • Le kubelet dans Kubernetes 1.27 a augmenté la valeur par défaut kubeAPIQPS à 50 et kubeAPIBurst à 100. Ces améliorations permettent de kubelet traiter un plus grand volume de API requêtes, améliorant ainsi les temps de réponse et les performances. Lorsque les demandes de Pods augmentent, en raison des exigences de mise à l'échelle, les valeurs par défaut révisées garantissent la capacité de kubelet à gérer efficacement l'augmentation de la charge de travail. Par conséquent, les lancements Pod sont plus rapides et les opérations de cluster sont plus efficaces.

  • Vous pouvez utiliser une topologie Pod plus fine pour diffuser des politiques telles que minDomain. Ce paramètre vous permet de spécifier le nombre minimum de domaines sur lesquels vos Pods devez être répartis. nodeAffinityPolicy et nodeTaintPolicy permettent un niveau de granularité supplémentaire dans la gestion de la distribution Pod. Ceci est conforme aux affinités des nœuds, aux rejets et au champ matchLabelKeys dans le topologySpreadConstraints de votre spécification Pod's. Cela permet de sélectionner des Pods pour étaler les calculs après une mise à niveau progressive.

  • Kubernetes1.27 promu en version bêta un nouveau mécanisme de politique StatefulSets contrôlant la durée de vie de leur PersistentVolumeClaims (PVCs). La nouvelle politique de rétention PVC vous permet de spécifier si les données PVCs générées à partir du modèle de spécification StatefulSet seront automatiquement supprimées ou retenues lors de la suppression du StatefulSet ou de la réduction des répliques dans le StatefulSet.

  • L'goaway-chanceoption sur le Kubernetes API serveur permet d'éviter que les connexions HTTP/2 client ne soient bloquées sur une seule instance de API serveur, en fermant une connexion de manière aléatoire. Lorsque la connexion est fermée, le client essaie de se reconnecter et il est probable qu'il atterrisse sur un autre API serveur en raison de l'équilibrage de charge. EKSLa version Amazon 1.27 a activé goaway-chance le drapeau. Si votre charge de travail exécutée sur le EKS cluster Amazon utilise un client incompatible avec HTTP GOAWAY, nous vous recommandons de mettre à jour la gestion de votre client en vous GOAWAY reconnectant à la fin de la connexion.

Pour obtenir le journal complet des modifications de Kubernetes 1.27, consultez la page https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.27.md#changelog-since-v1260.

Kubernetes1,26

Kubernetes1.26est désormais disponible sur AmazonEKS. Pour plus d'informations sur Kubernetes 1.26, consultez l'annonce de la version officielle.

Important

Kubernetes 1.26 ne prend plus en charge CRI v1alpha2. Il en résulte que le kubelet n'enregistre plus le nœud si l'environnement d'exécution du conteneur ne prend pas en charge CRI v1. Cela signifie également que Kubernetes 1.26 ne prend pas en charge la version mineure de containerd 1.5 et antérieures. Si vous utilisez containerd, vous devez effectuer une mise à niveau vers la version containerd1.6.0 ou une version ultérieure avant de procéder à la mise à niveau de tout nœud vers Kubernetes 1.26. Vous devez également mettre à niveau tous les autres environnements d'exécution de conteneur qui ne prennent en charge que v1alpha2. Pour plus d'informations, reportez-vous au fournisseur du moteur d'exécution du conteneur. Par défaut, Amazon Linux et Bottlerocket AMIs incluez la version containerd. 1.6.6

  • Avant de procéder à la mise à niveau vers Kubernetes 1.26, mettez à niveau votre Amazon VPC CNI plugin for Kubernetes vers la version 1.12 ou ultérieure. Si vous n'effectuez pas la mise à niveau vers la version 1.12 ou ultérieure du Amazon VPC CNI plugin for Kubernetes, le Amazon VPC CNI plugin for Kubernetes plantera. Pour de plus amples informations, veuillez consulter Attribuer IPs à Pods avec Amazon VPC CNI.

  • L'goaway-chanceoption sur le Kubernetes API serveur permet d'éviter que les connexions HTTP/2 client ne soient bloquées sur une seule instance de API serveur, en fermant une connexion de manière aléatoire. Lorsque la connexion est fermée, le client essaie de se reconnecter et il est probable qu'il atterrisse sur un autre API serveur en raison de l'équilibrage de charge. EKSLa version Amazon 1.26 a activé goaway-chance le drapeau. Si votre charge de travail exécutée sur le EKS cluster Amazon utilise un client incompatible avec HTTP GOAWAY, nous vous recommandons de mettre à jour la gestion de votre client en vous GOAWAY reconnectant à la fin de la connexion.

Pour obtenir le journal complet des modifications de Kubernetes 1.26, consultez la page https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.26.md#changelog-since-v1250.

Kubernetes1,25

Kubernetes1.25est désormais disponible sur AmazonEKS. Pour plus d'informations sur Kubernetes 1.25, consultez l'annonce de la version officielle.

Important

  • À partir de Kubernetes la version1.25, vous ne pourrez plus utiliser les EC2 P2 instances Amazon avec Amazon Linux accéléré EKS optimisé AMIs par Amazon prêt à l'emploi. AMIsPour les Kubernetes versions 1.25 ou ultérieures, ils prendront en charge les pilotes de NVIDIA 525 série ou ultérieurs, qui sont incompatibles avec les P2 instances. Toutefois, les pilotes de NVIDIA 525 série ou ultérieurs sont compatibles avec les P5 instances P3P4, et. Vous pouvez donc utiliser ces instances avec la Kubernetes version AMIs for 1.25 ou ultérieure. Avant que vos EKS clusters Amazon ne soient mis à niveau vers la version1.25, migrez les P2 instances vers P3 et P5 les instances. P4 Vous devez également mettre à jour vos applications de manière proactive pour qu'elles fonctionnent avec les pilotes de la série NVIDIA 525 ou d'une série ultérieure. Nous prévoyons de rétroporter les nouvelles NVIDIA 525 séries ou les pilotes ultérieurs vers des Kubernetes versions ultérieures 1.23 et 1.24 ce, fin janvier 2024.

  • PodSecurityPolicy(PSP) est supprimé dans Kubernetes1.25. PSPssont remplacés par les normes Pod Security Admission (PSA) et Pod Security(PSS). PSAest un contrôleur d'admission intégré qui met en œuvre les contrôles de sécurité décrits dans le PSS. PSAet PSS sont passés en mode stable dans Kubernetes 1.25 et sont activés dans Amazon EKS par défaut. Si vous PSPs en avez un dans votre cluster, assurez-vous de migrer PSP vers la solution intégrée Kubernetes PSS ou vers une policy-as-code solution avant de passer à la version de votre cluster1.25. Si vous ne migrez pas depuisPSP, vos charges de travail risquent d'être interrompues. Pour plus d’informations, consultez le Migrer depuis les anciennes politiques de sécurité des pods (PSP).

  • Kubernetesla version 1.25 contient des modifications qui modifient le comportement d'une fonctionnalité existante connue sous le nom de API Priority and Fairness (APF). APFsert à protéger le API serveur d'une éventuelle surcharge pendant les périodes où le volume de demandes augmente. Pour ce faire, elle impose des restrictions sur le nombre de demandes simultanées pouvant être traitées à un moment donné. Ceci est réalisé en appliquant des niveaux de priorité et des limites distincts aux demandes provenant de différentes charges de travail ou utilisateurs. Cette approche garantit que les applications critiques ou les demandes hautement prioritaires bénéficient d'un traitement préférentiel, tout en évitant que les demandes moins prioritaires ne surchargent le API serveur. Pour plus d'informations, voir APIPriorité et équité dans la Kubernetes documentation ou APIPriorité et équité dans le guide des EKS meilleures pratiques.

    Ces mises à jour ont été introduites dans PR #10352 et PR #118601. Auparavant, tous les types de demandes étaient APF traités de manière uniforme, chaque demande consommant une seule unité de la limite de demandes simultanées. Le changement de APF comportement affecte des unités de simultanéité plus élevées aux LIST demandes en raison de la charge exceptionnellement lourde imposée au API serveur par ces demandes. Le API serveur estime le nombre d'objets qui seront renvoyés par une LIST demande. Il attribue une unité de concurrence proportionnelle au nombre d'objets renvoyés.

    Lors de la mise à niveau vers EKS la version Amazon 1.25 ou une version ultérieure, ce comportement mis à jour peut entraîner une limitation de débit pour les charges de travail associées à de lourdes LIST demandes (qui fonctionnaient auparavant sans problème). Cela serait indiqué par un code de réponse HTTP 429. Pour éviter toute perturbation potentielle des charges de travail en raison de la limitation du débit des demandes LIST, nous vous encourageons vivement à restructurer vos charges de travail afin de réduire le débit de ces demandes. Vous pouvez également résoudre ce problème en ajustant les APF paramètres afin d'allouer davantage de capacité aux demandes essentielles tout en réduisant la capacité allouée aux demandes non essentielles. Pour plus d'informations sur ces techniques d'atténuation, consultez la section Prévention des demandes abandonnées dans le Guide des EKS meilleures pratiques.

  • Amazon apporte EKS 1.25 des améliorations à l'authentification des clusters qui contiennent des YAML bibliothèques mises à jour. Si une valeur YAML de la ConfigMap aws-auth trouvée dans l'espace de noms kube-system commence par une macro, où le premier caractère est une accolade, vous devez ajouter des guillemets (“ ”) avant et après les accolades ({ }). Cela est nécessaire pour garantir que aws-iam-authenticator la version analyse v0.6.3 correctement le aws-auth ConfigMap dans Amazon EKS1.25.

  • La API version bêta (discovery.k8s.io/v1beta1) de EndpointSlice est devenue obsolète Kubernetes 1.21 et n'est plus disponible depuis. Kubernetes 1.25 Cela API a été mis à jour pourdiscovery.k8s.io/v1. Pour plus d'informations, consultez la section EndpointSlicedans la documentation Kubernetes. Le AWS Load Balancer Controller v2.4.6 et les versions antérieures utilisaient le point de terminaison v1beta1 pour communiquer avec EndpointSlices. Si vous utilisez la EndpointSlices configuration pour leAWS Load Balancer Controller, vous devez effectuer une mise à niveau vers AWS Load Balancer Controller v2.4.7 avant de mettre à niveau votre EKS cluster Amazon vers1.25. Si vous effectuez une mise à niveau vers la version 1.25 alors que vous utilisez la configuration EndpointSlices du AWS Load Balancer Controller, le contrôleur se bloquera, ce qui entraînera des interruptions de vos charges de travail. Pour mettre à niveau le contrôleur, consultez la rubrique Acheminez le trafic Internet avec le AWS Load Balancer Controller.

  • La API version bêta (autoscaling/v2beta1) de n' HorizontalPodAutoscaler est plus diffusée à partir de 1.25 Kubernetes. Cela API était obsolète dans la version. 1.23 Migrez les manifestes et les API clients pour utiliser la autoscaling/v2 HorizontalPodAutoscaler API version. Pour plus d'informations, consultez la documentation de Kubernetes.

  • SeccompDefault passe en version bêta dans Kubernetes 1.25. En définissant l'indicateur --seccomp-default lors de la configuration de kubelet, l'environnement d'exécution de conteneur utilise son profil RuntimeDefaultseccomp au lieu du mode non confiné (seccomp disabled). Les profils par défaut fournissent un ensemble solide de paramètres de sécurité par défaut, tout en préservant l'intégrité de la charge de travail. Bien que cet indicateur soit disponible, Amazon EKS ne l'active pas par défaut, de sorte que le EKS comportement d'Amazon reste effectivement inchangé. Si vous le souhaitez, vous pouvez l'activer sur vos nœuds. Pour plus d'informations, consultez le didacticiel Restriction des appels système d'un conteneur avec seccomp de la documentation Kubernetes.

  • Support de l'interface Container Runtime (CRI) pour Docker (également connue sous le nom de dockershim Kubernetes1.24) a été supprimée ultérieurement. Le seul environnement d'exécution de conteneur EKS officiel d'Amazon AMIs pour les clusters Kubernetes 1.24 et les versions ultérieures estcontainerd. Avant de passer à Amazon EKS 1.24 ou à une version ultérieure, supprimez toute référence aux indicateurs de script bootstrap qui ne sont plus pris en charge. Pour de plus amples informations, veuillez consulter Migrer dockershim de containerd.

  • La prise en charge des requêtes génériques est devenue obsolète dans CoreDNS 1.8.7 et a été supprimée dans CoreDNS 1.9. Cela a été fait par mesure de sécurité. Les requêtes génériques ne fonctionnent plus et renvoient NXDOMAIN au lieu d'une adresse IP.

  • L'goaway-chanceoption sur le Kubernetes API serveur permet d'éviter que les connexions HTTP/2 client ne soient bloquées sur une seule instance de API serveur, en fermant une connexion de manière aléatoire. Lorsque la connexion est fermée, le client essaie de se reconnecter et il est probable qu'il atterrisse sur un autre API serveur en raison de l'équilibrage de charge. EKSLa version Amazon 1.25 a activé goaway-chance le drapeau. Si votre charge de travail exécutée sur le EKS cluster Amazon utilise un client incompatible avec HTTP GOAWAY, nous vous recommandons de mettre à jour la gestion de votre client en vous GOAWAY reconnectant à la fin de la connexion.

Pour obtenir le journal complet des modifications de Kubernetes 1.25, consultez la page https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.25.md#changelog-since-v1240.

Kubernetes1,24

Kubernetes1.24est désormais disponible sur AmazonEKS. Pour plus d'informations sur Kubernetes 1.24, consultez l'annonce de la version officielle.

Important

  • Tout d'abord Kubernetes1.24, les nouvelles versions bêta APIs ne sont pas activées par défaut dans les clusters. Par défaut, la version bêta existante APIs et les nouvelles versions de la version bêta existante APIs continuent d'être activées. Amazon EKS suit le même comportement qu'en amont Kubernetes1.24. Les portes de fonctionnalités qui contrôlent les nouvelles fonctionnalités pour les API opérations nouvelles et existantes sont activées par défaut. Ceci est conforme à l'instance de Kubernetes située en amont. Pour plus d'informations, voir KEP-3136 : Les versions bêta APIs sont désactivées par défaut et activées. GitHub

  • Support pour Container Runtime Interface (CRI) pour Docker (également connu sous le nom dedockershim) est supprimé de Kubernetes1.24. Amazon EKS AMIs a officiellement containerd comme seul environnement d'exécution. Avant de passer à Amazon EKS 1.24 ou à une version ultérieure, vous devez supprimer toute référence aux indicateurs de script bootstrap qui ne sont plus pris en charge. Vous devez également vous assurer que le transfert IP est activé pour vos nœuds de travail. Pour de plus amples informations, veuillez consulter Migrer dockershim de containerd.

  • Si vous avez déjà configuré Fluentd pour Container Insights, vous devez effectuer la migration Fluentd vers Fluent Bit avant de mettre à jour votre cluster. Les Fluentd analyseurs sont configurés pour analyser uniquement les messages du journal au JSON format. Contrairement à celadockerd, l'environnement d'exécution du containerd conteneur contient des messages de journal qui ne sont pas au JSON format. Si vous ne migrez pas vers Fluent Bit, certains des analyseurs Fluentd's configurés généreront un grand nombre d'erreurs à l'intérieur du conteneur Fluentd. Pour plus d'informations sur la migration, voir Configurer en Fluent Bit tant que DaemonSet pour envoyer des CloudWatch journaux vers Logs.

  • Dans les versions antérieures Kubernetes 1.23 et antérieures, les certificats kubelet de service dont l'adresse IP et les noms alternatifs de DNS sujet ne sont pas vérifiables (SANs) sont automatiquement émis avec la mention « invérifiable ». SANs Ces données invérifiables SANs sont omises dans le certificat provisionné. Dans les clusters 1.24 des versions et ultérieures, aucun certificat de kubelet service n'est émis si aucun certificat ne SAN peut être vérifié. Cela entrave le fonctionnement des commandes kubectl exec et kubectl logs. Pour de plus amples informations, veuillez consulter Considérations relatives à la signature des certificats avant la mise à niveau de votre cluster vers Kubernetes 1,24.

  • Lors de la mise à niveau d'un EKS 1.23 cluster Amazon qui utiliseFluent Bit, vous devez vous assurer qu'il fonctionne k8s/1.3.12 ou qu'il est en cours d'exécution ultérieurement. Vous pouvez le faire en réappliquant le dernier Fluent Bit YAML fichier applicable à partir deGitHub. Pour plus d'informations, consultez la section Configuration Fluent Bit dans le guide de CloudWatch l'utilisateur Amazon.

  • Vous pouvez avoir recours à des indicateurs prenant en compte la topologie (Topology Aware Hints) pour spécifier que vous préférez maintenir le trafic dans une zone lorsque les composants master du cluster sont déployés dans plusieurs zones de disponibilité. Le routage du trafic au sein d'une zone peut contribuer à réduire les coûts et à améliorer les performances du réseau. Par défaut, les indices tenant compte de la topologie sont activés sur Amazon EKS1.24. Pour plus d'informations, consultez Indicateurs prenant en compte la topologie dans la documentation Kubernetes.

  • La suppression du PodSecurityPolicy (PSP) est prévue dans Kubernetes1.25. PSPssont remplacés par Pod Security Admission (PSA). PSAest un contrôleur d'admission intégré qui utilise les contrôles de sécurité décrits dans les normes de sécurité des pods (PSS). PSAet PSS sont toutes deux des fonctionnalités bêta activées EKS par défaut sur Amazon. Pour résoudre le problème de suppression de la version PSP in1.25, nous vous recommandons de l'implémenter PSS dans AmazonEKS. Pour plus d'informations, consultez Implementation des normes de sécurité des pods EKS sur Amazon sur le AWS blog.

  • Le client.authentication.k8s.io/v1alpha1 ExecCredential est retiré dans Kubernetes1.24. Le ExecCredential API était généralement disponible en Kubernetes1.22. Si vous utilisez un plugin d'identification client-go qui repose sur le v1alpha1API, contactez le distributeur de votre plugin pour savoir comment migrer vers le. v1 API

  • En effet Kubernetes1.24, nous avons ajouté une fonctionnalité au projet Cluster Autoscaler en amont qui simplifie le dimensionnement des groupes de nœuds EKS gérés par Amazon vers et depuis zéro nœud. Auparavant, pour que le Cluster Autoscaler puisse comprendre les ressources, les étiquettes et les caractéristiques d'un groupe de nœuds gérés réduit à zéro nœud, vous deviez étiqueter le groupe Amazon EC2 Auto Scaling sous-jacent avec les détails des nœuds dont il était responsable. Désormais, lorsqu'aucun nœud n'est actif dans le groupe de nœuds gérés, le Cluster Autoscaler appelle l'opération Amazon EKS DescribeNodegroupAPI. Cette API opération fournit les informations dont le Cluster Autoscaler a besoin concernant les ressources, les étiquettes et les modifications du groupe de nœuds gérés. Cette fonctionnalité nécessite que vous ajoutiez l'eks:DescribeNodegroupautorisation à la politique de compte IAM du service Cluster Autoscaler. Lorsque la valeur d'une balise Cluster Autoscaler du groupe Auto Scaling alimentant un groupe de nœuds EKS géré par Amazon entre en conflit avec le groupe de nœuds lui-même, le Cluster Autoscaler préfère la valeur de la balise de groupe Auto Scaling. Cela vous permet de remplacer les valeurs selon vos besoins. Pour de plus amples informations, veuillez consulter Faites évoluer le calcul en cluster avec Karpenter et Cluster Autoscaler.

  • Si vous avez l'intention d'utiliser Inferentia ou d'utiliser des types d'Trainiuminstance avec Amazon EKS1.24, vous devez passer à la version 1.9.3.0 ou ultérieure du plug-in pour AWS Neuron appareil. Pour plus d'informations, consultez la version Neuron K8 [1.9.3.0] dans la documentation. AWS Neuron

  • IPv6 est activée par défaut dans Containerd pour les Pods. Containerd applique les paramètres du noyau des nœuds aux espaces de noms des réseaux de Pod. De ce fait, les conteneurs d'un Pod sont liés à la fois aux adresses de bouclage IPv4 (127.0.0.1) et IPv6 (::1). IPv6 est le protocole de communication par défaut. Avant de mettre à jour votre cluster vers la version 1.24, nous vous recommandons de tester vos Pods multi-conteneurs. Modifiez les applications de sorte qu'elles puissent se lier à toutes les adresses IP sur les interfaces de bouclage. La plupart des bibliothèques permettent la liaison IPv6, qui est rétrocompatible avec IPv4. S'il vous est impossible de modifier le code de votre application, deux options s'offrent à vous :

    • Exécutez un conteneur init et définissez disable ipv6 sur true (sysctl -w net.ipv6.conf.all.disable_ipv6=1).

    • Configurez un webhook d'admission en mutation pour injecter un conteneur init parallèlement à vos Pods d'applications.

    Si vous devez bloquer IPv6 pour tous les Pods sur tous les nœuds, vous devrez peut-être désactiver IPv6 sur vos instances.

  • L'goaway-chanceoption sur le Kubernetes API serveur permet d'éviter que les connexions HTTP/2 client ne soient bloquées sur une seule instance de API serveur, en fermant une connexion de manière aléatoire. Lorsque la connexion est fermée, le client essaie de se reconnecter et il est probable qu'il atterrisse sur un autre API serveur en raison de l'équilibrage de charge. EKSLa version Amazon 1.24 a activé goaway-chance le drapeau. Si votre charge de travail exécutée sur le EKS cluster Amazon utilise un client incompatible avec HTTP GOAWAY, nous vous recommandons de mettre à jour la gestion de votre client en vous GOAWAY reconnectant à la fin de la connexion.

Pour obtenir le journal complet des modifications de Kubernetes 1.24, consultez https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.24.md#changelog-since-v1230.

Kubernetes1,23

Kubernetes1.23est désormais disponible sur AmazonEKS. Pour plus d'informations sur Kubernetes 1.23, consultez l'annonce de la version officielle.

Important

  • La fonctionnalité de migration des volumes Kubernetes in-tree vers Container Storage Interface (CSI) est activée. Cette fonctionnalité permet de remplacer les plugins de stockage Kubernetes intégrés existants pour Amazon EBS par un EBS CSI pilote Amazon correspondant. Pour plus d'informations, voir Fonctionnalité Kubernetes 1.17 : migration de Kubernetes l'arbre vers CSI le volume passe à la version bêta sur le Kubernetes blog.

    La fonctionnalité traduit l'arborescence en APIs équivalent CSI APIs et délègue les opérations à un CSI pilote de remplacement. Grâce à cette fonctionnalité, si vous utilisez StorageClass,PersistentVolume, et PersistentVolumeClaim qui appartiennent à ces charges de travail, il n'y aura probablement aucun changement conséquent. Cette fonctionnalité permet Kubernetes de déléguer toutes les opérations de gestion du stockage du plugin intégré à l'arborescence au CSI pilote. Si vous utilisez des EBS volumes Amazon dans un cluster existant, installez le EBS CSI pilote Amazon dans votre cluster avant de mettre à jour la version de votre cluster1.23. Si vous n'installez pas ce pilote avant de mettre à jour un cluster existant, vous pourriez faire face à une interruption de la charge de travail. Si vous prévoyez de déployer des charges de travail utilisant des EBS volumes Amazon dans un nouveau 1.23 cluster, installez le EBS CSI pilote Amazon dans votre cluster avant de déployer les charges de travail de votre cluster. Pour savoir comment installer le EBS CSI pilote Amazon sur votre cluster, consultezStockage Kubernetes volumes avec Amazon EBS. Pour les questions fréquentes sur la fonction de migration, consultez Questions fréquemment posées sur la EBS CSI migration vers Amazon.

  • Support étendu pour Amazon EKS optimisé Windows AMIs et publié par AWS n'est pas disponible pour les Kubernetes versions 1.23 mais est disponible pour les Kubernetes versions 1.24 et supérieures.

  • Kubernetes ne prend plus en charge dockershim dans sa version 1.20 et a supprimé dockershim dans la version 1.24. Pour plus d'informations, voir l'article intitulé Kubernetes is Moving on From Dockershim: Commitments and Next Steps sur le blog Kubernetes. Amazon EKS mettra fin à la prise en charge dockershim du démarrage de EKS la version Amazon1.24. À partir de EKS la version Amazon1.24, Amazon EKS official AMIs aura containerd pour seul moteur d'exécution.

    Même si EKS la version Amazon 1.23 continue d'être prise en chargedockershim, nous vous recommandons de commencer à tester vos applications dès maintenant afin d'identifier et de supprimer toute Docker dépendance. En procédant ainsi, vous êtes prêt à mettre à jour votre cluster vers la version 1.24. Pour en savoir plus sur la suppression de dockershim, consultez Migrer dockershim de containerd.

  • Kubernetes a fait évolué les IPv4/IPv6 vers la mise en réseau du double empilement Pods, services et nœuds à la disponibilité générale. Cependant, Amazon EKS et les autres ne prennent Amazon VPC CNI plugin for Kubernetes pas en charge les réseaux à double pile. Vos clusters peuvent attribuer IPv4 ou IPv6 adresses de Pods et les services. Toutefois, il ne peut pas attribuer les deux types d'adresses.

  • Kubernetesa fait passer la fonctionnalité Pod Security Admission (PSA) en version bêta. Cette fonction est activée par défaut. Pour plus d'informations, consultez Politiques d'admission de sécurité de Pod dans la documentation Kubernetes. PSAremplace le contrôleur d'admission Pod Security Policy (PSP). Le contrôleur PSP d'admission n'est pas pris en charge et sa suppression est prévue dans Kubernetes la version1.25.

    Le PSP contrôleur d'admission applique Pod normes de sécurité sur Pods dans un espace de noms basé sur des étiquettes d'espace de noms spécifiques qui définissent le niveau d'application. Pour plus d'informations, consultez les sections Pod Security Standards (PSS) et Pod Security Admission (PSA) dans le guide des EKS meilleures pratiques Amazon.

  • L'kube-proxyimage déployée avec les clusters est désormais l'image de base minimale gérée par Amazon EKS Distro (EKS-D). L'image contient un minimum de packages et ne possède pas de shell ni de gestionnaire de packages.

  • Kubernetes a fait évoluer les conteneurs éphémères vers la version bêta. Les conteneurs éphémères sont des conteneurs temporaires qui s'exécutent dans le même espace de noms qu'un conteneur existant Pod. Vous pouvez les utiliser pour observer l'état de Pods et des conteneurs pour les besoins de dépannage et de débogage. Ceci est particulièrement utile pour le dépannage interactif lorsque kubectl exec est insuffisant parce qu'un conteneur a planté ou qu'une image de conteneur n'inclut pas d'utilitaires de débogage. Voici un exemple de conteneur comprenant un utilitaire de débogage :images sans distroless. Pour plus d'informations, veuillez consulter Débogage avec un conteneur de débogage éphémère dans la documentation Kubernetes.

  • Kubernetesa fait passer l'HorizontalPodAutoscalerautoscaling/v2écurie API à la disponibilité générale. Le HorizontalPodAutoscaler autoscaling/v2beta2 API est obsolète. Elle sera indisponible dans 1.26.

  • L'goaway-chanceoption sur le Kubernetes API serveur permet d'éviter que les connexions HTTP/2 client ne soient bloquées sur une seule instance de API serveur, en fermant une connexion de manière aléatoire. Lorsque la connexion est fermée, le client essaie de se reconnecter et il est probable qu'il atterrisse sur un autre API serveur en raison de l'équilibrage de charge. EKSLa version Amazon 1.23 a activé goaway-chance le drapeau. Si votre charge de travail exécutée sur le EKS cluster Amazon utilise un client incompatible avec HTTP GOAWAY, nous vous recommandons de mettre à jour la gestion de votre client en vous GOAWAY reconnectant à la fin de la connexion.

Pour obtenir le journal complet des modifications de Kubernetes 1.23, consultez la page https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.23.md#changelog-since-v1220.