Kubernetes 1.29 增强了 KMS V2 并提供对 nftables 的支持

云原生计算基金会（CNCF）发布了代号为 Mandala 的 Kubernetes 1.29。最新版本引入了一些新特性，比如 Service 负载均衡器的 IP 模式、Windows 容器的可变 Pod 资源以及基于 nftables 的 kube-proxy。

有些特性已经升级到了 beta 版本，比如 sidecar 容器以及解耦污点管理器与节点生命周期控制器。

这个版本中有多个稳定或正式发布的特性，比如 KMS v2 静态加密，以及为持久卷添加了一个名为ReadWriteOncePod的新访问模式。

在 1.29 版本中，与云供应商的树内集成被移除，节点对象的.status.kubeProxyVersion 字段 已被废弃。

在新的版本中，为 kube-proxy 引入了一个基于 nftables 作为新后端。添加该特性是因为一些 Linux 发行版正在废弃或移除 iptables。同时，这也是为了解决 iptables（kube-proxy 的默认实现）的一些性能问题。

来自发布团队的 Nina Polshakova 评论了这个特殊的特性：

在 nftables 模式下，kube-proxy 使用 nftables 代替 iptables 来配置数据包的转发规则。它致力于成为 iptables 的继任者，目前该特性仅在 Linux 节点上可用。同样在该版本中，Windows 容器现在支持 Pod 资源的就地更新，以允许更改资源请求和限制，而无需重启 Pod 或其容器。

除此之外，为 Service 管理 IP 地址范围是一项新的 alpha 特性，它允许用户通过创建新的ServiceCIDRs来动态增加 Service IP 的数量。这是为了解决 IP 耗尽或 IP 重新编号相关的问题。

在 1.29 版本中，Sidecar 容器转移到了 beta 状态，它默认是启用的。这种容器用于增强或扩展 Pod 中主容器的功能，例如日志、监控、安全性或服务网格架构的部分功能。

在 1.29 版本中，对 KMS v2 静态加密的支持成为了一个稳定的特性。KMS v2 在性能、秘钥轮转和可观测性方面提供了显著的增强。

对于PersistentVolumes（PVc）和PersistantVolumeClaims（PVCs），在 1.29 版本中，新的ReadWriteOncePod访问模式普遍可用，或者说已达到稳定状态。该特性是为了解决在使用 ReadWriteOne访问模式时，同一节点上的多个 Pod 可以对同一个卷进行读写的情况。使用访问模式ReadWriteOncePod创建的持久卷能够确保创建的 Pod 是整个集群中唯一可以读写特定 PVC 的 Pod。

根据发布说明，Kubernetes 1.29 版本有 49 项增强，其中 19 项进入了 alpha 状态, 11 项达到普遍可用或稳定状态，19 项进入了 beta 状态。此外，还有 3 个特性被弃用或删除。

有关 Kubernetes 1.29 版本的详细信息，用户可以参考官方发布说明和文档，详细了解该版本提供的功能增强和特性弃用，或者观看发布团队录制的 CNCF webinar。

原文链接：

https://www.infoq.com/news/2024/01/kubernetes-1-29/

欢迎加入 InfoQ 读者技术交流群，与志同道合的朋友一起探讨知识，交流经验。