延長サポートの Kubernetes バージョンのリリースノートを確認する

Kubernetes 1.27 の kubelet は、デフォルトの kubeAPIQPS を 50 に、kubeAPIBurst を 100 に増やしました。これらの機能強化により、kubelet がより大量の API クエリを処理できるようになり、応答時間とパフォーマンスが向上します。　 スケーリング要件により、Pods に対する需要が増加した場合、修正されたデフォルト値により、kubelet は増加したワークロードを効率的に管理できるようになります。その結果、Pod の起動が速くなり、クラスター操作がより効率的になります。

よりきめ細かい Pod トポロジを使用して、minDomain などのポリシーを分散できます。このパラメータにより、Pods を分散させる必要のあるドメインの最小数を指定できます。nodeAffinityPolicy および nodeTaintPolicy を使用することで、Pod の分散を管理する際の粒度をさらに細かくすることができます。これは、ノードのアフィニティ、テイント、Pod’s 仕様の topologySpreadConstraints の matchLabelKeys フィールドによって異なります。これにより、ローリングアップグレード後の分散計算のために Pods を選択できます。

Kubernetes 1.27 は PersistentVolumeClaims (PVCs) の存続期間を制御する StatefulSets の新しいポリシーメカニズムをベータ版に昇格しました。新しい PVC リテンションポリシーでは、StatefulSet が削除されたとき、または StatefulSet 内のレプリカがスケールダウンされたときに、StatefulSet スペックテンプレートから生成された PVCs を自動的に削除するか、保持するかを指定できます。

Kubernetes API サーバーの goaway-chance オプションを使用すると、接続がランダムに閉じることで、HTTP/2 クライアント接続が単一の API サーバーインスタンスでスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン 1.27 では、goaway-chance フラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAY と互換性のないクライアントが使用されている場合は、接続終了時に再接続することで GOAWAY を処理できるようにクライアントを更新することをお勧めします。

Kubernetes 1.26 にアップグレードする前に、Amazon VPC CNI plugin for Kubernetes をバージョン 1.12 以降にアップグレードしてください。Amazon VPC CNI plugin for Kubernetes バージョン 1.12 またはそれ以降にアップグレードしていない場合、Amazon VPC CNI plugin for Kubernetes はクラッシュします。詳細については、「Amazon VPC CNI」を参照してください。

Kubernetes API サーバーの goaway-chance オプションを使用すると、接続がランダムに閉じることで、HTTP/2 クライアント接続が単一の API サーバーインスタンスでスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン 1.26 では、goaway-chance フラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAY と互換性のないクライアントが使用されている場合は、接続終了時に再接続することで GOAWAY を処理できるようにクライアントを更新することをお勧めします。

SeccompDefault は、Kubernetes 1.25 でベータ版に昇格しました。kubelet を設定するときに --seccomp-default フラグを設定すると、コンテナランタイムは unconfined (seccomp disabled) モードではなく、その RuntimeDefaultseccomp プロファイルを使用します。デフォルトプロファイルは、ワークロードの機能を維持しながら、セキュリティデフォルトの強力なセットを提供します。このフラグは利用可能ですが、Amazon EKS はデフォルトでこのフラグを有効にしないため、Amazon EKS の動作は事実上変更されません。必要に応じて、ノードでこれを有効にすることができます。詳細については、Kubernetes ドキュメントのチュートリアル「seccomp を使用してコンテナの Syscall を制限する」を参照してください。

Docker (dockershim とも呼ばれる) のコンテナランタイムインターフェイス (CRI) のサポートは、Kubernetes 1.24 以降から削除されました。Kubernetes 1.24 以降のクラスター用の Amazon EKS の公式 AMIs における唯一のコンテナランタイムは containerd です。Amazon EKS 1.24 以降にアップグレードする前に、サポートされなくなったブートストラップスクリプトフラグへの参照をすべて削除します。詳細については、「dockershim から containerd に移行する」を参照してください。

ワイルドカードクエリのサポートは CoreDNS 1.8.7 で非推奨となり、CoreDNS 1.9 で削除されました。これはセキュリティ対策として行われました。ワイルドカードクエリは機能しなくなり、IP アドレスの代わりに NXDOMAIN を返します。

Kubernetes API サーバーの goaway-chance オプションを使用すると、接続がランダムに閉じることで、HTTP/2 クライアント接続が単一の API サーバーインスタンスでスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン 1.25 では、goaway-chance フラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAY と互換性のないクライアントが使用されている場合は、接続終了時に再接続することで GOAWAY を処理できるようにクライアントを更新することをお勧めします。

Topology Aware Hints を使用すると、クラスターワーカーノードが複数のアベイラビリティーゾーンにデプロイされている場合に、トラフィックをゾーン内に保持する設定を指定できます。ゾーン内でトラフィックをルーティングすると、コストを削減し、ネットワークパフォーマンスを向上させることができます。デフォルトでは、Topology Aware Hints は Amazon EKS 1.24 で有効になっています。詳細については、「Kubernetes ドキュメント」の「トポロジー対応のヒント」を参照してください。

PodSecurityPolicy (PSP) は、Kubernetes 1.25 で削除される予定です。PSPs は、ポッドセキュリティアドミッション (PSA) に置き換えられています。PSA は、ポッドセキュリティ標準 (PSS) で概説されているセキュリティコントロールを使用するビルトインのアドミッションコントローラーです。PSA と PSS はどちらもベータ機能であり、Amazon EKS ではデフォルトで有効になっています。バージョン 1.25 での PSP の削除に対処するには、Amazon EKS に PSS を実装することをお勧めします。詳細については、「AWS ブログ」の「Amazon EKS でのポッドセキュリティ標準の実装」を参照してください。

client.authentication.k8s.io/v1alpha1 ExecCredential は、Kubernetes 1.24 で削除されます。ExecCredential API は、Kubernetes 1.22 で一般に利用できるようになりました。v1alpha1 API に依存する client-go 認証情報プラグインを使用する場合は、v1 API への移行方法について、プラグインのディストリビューターにお問い合わせください。

Kubernetes 1.24 については、アップストリームの Cluster Autoscaler プロジェクトに機能を提供しました。この機能は、Amazon EKS のマネージド型ノードグループのゼロノードへのスケーリングとノードからのスケーリングを簡素化します。以前は、Cluster Autoscaler がゼロノードにスケーリングされたマネージド型ノードグループのリソース、ラベル、テイントを理解するには、基盤となる Amazon EC2 Auto Scaling グループに、それが担当するノードの詳細情報をタグ付けする必要がありました。現在、マネージド型ノードグループに実行中のノードがない場合、Cluster Autoscaler は Amazon EKS DescribeNodegroup API 操作を呼び出します。この API オペレーションは、Cluster Autoscaler がマネージド型ノードグループのリソース、ラベル、テイントについて必要とする情報を提供します。この機能を使用するには、Cluster Autoscaler サービスアカウントの IAM ポリシーに eks:DescribeNodegroup アクセス許可を追加する必要があります。Amazon EKS マネージド型ノードグループを強化する Auto Scaling グループの Cluster Autoscaler タグの値がノードグループ自体と競合する場合、Cluster Autoscaler は Auto Scaling グループタグの値を使用します。これは、必要に応じて値をオーバーライドできるようにするためです。詳細については、Cluster Autoscaler を参照してください。

Amazon EKS 1.24 で Inferentia または Trainium インスタンスタイプを使用する場合は、AWS Neuron デバイスプラグインバージョン 1.9.3.0 以降にアップグレードする必要があります。詳細については、「AWS Neuron ドキュメント」の「Neuron K8 リリース [1.9.3.0]」を参照してください。

Containerd では、IPv6 が Pods 用にデフォルトで有効になっています。これは、ノードのカーネル設定を Pod ネットワークの名前空間に適用します。このため、Pod 内のコンテナは IPv4 (127.0.0.1) と IPv6 (::1) の両方のループバックアドレスにバインドされます。IPv6 はデフォルトの通信用プロトコルです。クラスターをバージョン 1.24 に更新する前に、マルチコンテナ Pods をテストすることをお勧めします。ループバックインターフェイスのすべての IP アドレスにバインドできるようにアプリを変更します。ライブラリの大部分は IPv6 バインディングを有効にします。これは IPv4 との下位互換性を備えています。アプリケーションコードを変更できない場合、次の 2 つのオプションがあります。

すべてのノードですべての Pods 用に IPv6 をブロックする必要がある場合、インスタンスで IPv6 を無効にしなければならない場合があります。

Kubernetes API サーバーの goaway-chance オプションを使用すると、接続がランダムに閉じることで、HTTP/2 クライアント接続が単一の API サーバーインスタンスでスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン 1.24 では、goaway-chance フラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAY と互換性のないクライアントが使用されている場合は、接続終了時に再接続することで GOAWAY を処理できるようにクライアントを更新することをお勧めします。

Kubernetes はバージョン 1.20 での dockershim のサポートを停止し、バージョン 1.24 で dockershim を削除しました。詳細については、Kubernetes ブログの「Kubernetes is Moving on From Dockershim: Commitments and Next Steps」 (Kubernetes は Dockershim の先へ: コミットメントと次のステップ) を参照してください。Amazon EKS は、Amazon EKS バージョン 1.24 以降、dockershim のサポートを終了します。Amazon EKS バージョン 1.24 から、Amazon EKS 公式 AMI は唯一のランタイムとして containerd を備えることになります。

Amazon EKS バージョン 1.23 は引き続き dockershim をサポートしますが、今すぐアプリケーションのテストを開始して、Docker 依存関係を特定して削除することをお勧めします。これにより、クラスターをバージョン 1.24 に更新する準備が整います。dockershim の削除の詳細については、「dockershim から containerd に移行する」を参照してください。

Kubernetes は、Pods、サービス、およびノード向けに IPv4/IPv6 デュアルスタックネットワーキングの一般提供を開始しました。ただし、Amazon EKS と Amazon VPC CNI plugin for Kubernetes では、デュアルスタックネットワークをサポートしていません。クラスターは IPv4 または IPv6 アドレスを Pods およびサービスに割り当てることができますが、両方のアドレスタイプを割り当てることはできません。

Kubernetes は、ポッドセキュリティアドミッション (PSA) 機能のベータ版の提供を開始しました。この機能は、デフォルトで有効になっています。詳細については、Kubernetes のドキュメントの「Pod Security Admission」を参照してください。PSA は、ポッドセキュリティポリシー (PSP) アドミッションコントローラーを置き換えます。PSP アドミッションコントローラーはサポートされておらず、Kubernetes バージョン 1.25 で削除される予定です。

PSP アドミッションコントローラーは、適用レベルを設定する特定の名前空間ラベルに基づいて、名前空間の Pods に対して Pod セキュリティ標準を適用します。詳細については、「Amazon EKS のベストプラクティスガイド」の「Pod Security Standards (PSS) and Pod Security Admission (PSA)」(Pod Security Standards (PSS) および Pod Security Admission (PSA)) を参照してください。

クラスターでデプロイされる kube-proxy イメージは、Amazon EKS Distro (EKS-D) によって維持される最小基本イメージとなりました。イメージには最小限のパッケージが含まれており、シェルやパッケージ マネージャーは含まれていません。

Kubernetes は、エフェメラルコンテナのベータ版の提供を開始しました。エフェメラルコンテナは、既存の Pod と同じ名前空間で実行される一時的なコンテナです。これらを使用して、トラブルシューティングやデバッグの目的で Pods およびコンテナの状態を観察できます。これは、コンテナがクラッシュしたか、コンテナイメージにデバッグユーティリティが含まれていないことを理由として kubectl exec が不十分である場合に、インタラクティブなトラブルシューティングに特に役立ちます。デバッグユーティリティを含むコンテナの例は、distroless イメージです。詳細については、Kubernetes ドキュメントの「Debugging with an ephemeral debug container」(エフェメラルデバッグコンテナを使用したデバッグ) を参照してください。

Kubernetes は、HorizontalPodAutoscaler autoscaling/v2 の安定した API の一般提供を開始しました。HorizontalPodAutoscaler autoscaling/v2beta2 API は非推奨です。1.26 ではご利用いただけなくなります。

Kubernetes API サーバーの goaway-chance オプションを使用すると、接続がランダムに閉じることで、HTTP/2 クライアント接続が単一の API サーバーインスタンスでスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン 1.23 では、goaway-chance フラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAY と互換性のないクライアントが使用されている場合は、接続終了時に再接続することで GOAWAY を処理できるようにクライアントを更新することをお勧めします。