Kubernetes 1.12 带来卷快照、TLS 改进等

原生云社区基金会（CNFC）宣布了Kubernetes 1.12。这个版本带来了快照和卷还原、TLS 改进、 Pod 横向自动扩展器（HPA）、拓扑感知的资源动态配置、高级审计、容器存储接口（CSI）插件的拓扑支持等等。

TLS on Kubernetes 得到了一些改进，例如 Kubelet TLS Bootstrap ，它已经逐步发展为正式版本，使 Kubelet 能够将自己引导到 TLS 安全的集群中。现在，Kubelet 可以生成私钥和 CSR（证书签名请求），以便提交给集群级的证书签名流程。此外， Kubelet 服务器证书引导和轮换进入 Beta 阶段。这个特性引入了一个在本地生成密钥的过程，然后把 CSR 发送给集群 API 服务器，以获得由集群的根证书颁发机构签名的关联证书。

Pod 横向自动扩展器（HPA）是作为 Kubernetes API 资源和控制器实现的一项特性，按照设计，它会根据观察到的 CPU 利用率自动缩放复制控制器、部署或复制集的 Pod 数量。HPA 算法得到了改进，使系统对于有些峰值的响应更快。此外，对自定义指标的支持也进行了改进。

Kubernetes 1.12 引入了拓扑感知的动态资源配置 Beta 版，旨在改善有状态工作负载的区域集群体验。这意味着，Kubernetes 现在可以推定计算引擎持久磁盘（PD）和区域PD 的固有区域限制，并在最适合运行pod 的区域配置这些限制。另外，拓扑新增了容器存储接口（CSI）插件，旨在使第三方开发人员更容易编写和部署卷插件，暴露Kubernetes 中的新存储系统。

Kubernetes 的审计日志发展成正式版本。Kubernetes 审计提供了一组相关记录，其中记录了由单个用户、管理员或其他组件引起的影响系统的活动序列。现在，从1.8.3 版开始，所有谷歌Kubernetes 引擎（GKE）集群都启用了日志，使GKE 用户可以通过集成Stackdriver云审计日志对集群收到的请求进行检查。了解更多关于GKE 审计日志的信息，请点击这里。

Kubernetes 1.12 引入的另外一个特性是卷快照和还原。这个 Alpha 特性使开发人员能够使用 Kubernetes API 创建 / 删除卷快照以及从快照创建新的卷。此外，开发人员可以用一种集群无关的方式加入快照操作。

其他特性包括：

• RuntimeClass：新增的集群级资源，把容器运行时属性暴露在控制面板上（Alpha）;

• 可配置的 pod 进程命名空间共享：该特性使用户可以在 pod 中配置容器，通过在 PodSpec（beta）中设置一个选项来共用一个 PID 命名空间（Beta）；

• TaintNodesByCondition ：用户现在可以使用 taint 表示阻塞调度的节点条件了（Beta）；

• 通过 KMS 静态加密：新增多个加密提供程序，包括 Google Cloud KMS、Azure Key Vault、AWS KMS 和 Hashicorp Vault（Beta）。

GitHub 上提供了 Kubernetes 1.12 的下载。想要开始使用Kubernetes，可以查阅这些交互式教程。

查看英文原文： Kubernetes 1.12 Brings Volume Snapshots, TLS Improvements, and More