标准支持版本的发布说明
本主题介绍有关标准支持中每个 Kubernetes 版本需要注意的重要更改。升级时,请仔细检查集群新旧版本之间发生的变化。
注意
对于 1.24
和更高版本的集群,正式发布的 Amazon EKS AMI 包括 containerd
作为唯一的运行时。低于 1.24
的 Kubernetes 版本将使用 Docker 作为默认运行时。这些版本有一个引导标志选项,您可以使用该选项在任何受支持的集群上通过 containerd
测试工作负载。有关更多信息,请参阅 Amazon EKS 结束了对 Dockershim 的支持。
Kubernetes1.29
Kubernetes 1.29
现已在 Amazon EKS 中推出。有关 Kubernetes 1.29
的更多信息,请参阅官方发布公告
重要
-
Kubernetes
v1.29
中不再提供FlowSchema
和PriorityLevelConfiguration
已弃用的flowcontrol.apiserver.k8s.io/v1beta2
API 版本。如果您有使用已弃用 beta API 组的对象或客户端软件,则应该先更改这些,然后再升级到v1.29
。
-
Node 对象的
.status.kubeProxyVersion
字段已弃用,而 Kubernetes 项目在未来版本中延迟删除此字段。已弃用的字段不正确,且过去一直由kubelet
管理 - 并不真的知道kube-proxy
版本,或kube-proxy
是否正在运行。如果您一直在客户端软件中使用此字段,请停止使用 - 其中的信息不可靠且该字段已弃用。 -
在 Kubernetes
1.29
中用于减少潜在攻击面,LegacyServiceAccountTokenCleanUp
功能将自动生成的旧基于密钥的令牌标记为无效,如果这些令牌长时间未使用的话(默认为 1 年),且如果在标记为无效后长时间无人使用,则会自动删除(默认为额外增加 1 年)。可运行以下内容识别此类令牌:kubectl get cm kube-apiserver-legacy-service-account-token-tracking -nkube-system
有关完整的 Kubernetes 1.29
更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.29.md#changelog-since-v1280
Kubernetes1.28
Kubernetes 1.28
现已在 Amazon EKS 中推出。有关 Kubernetes 1.28
的更多信息,请参阅官方发布公告
-
Kubernetes
v1.28
将核心节点和控制面板组件之间支持的偏差扩大了一个次要版本,从n-2
到n-3
,这样支持的最旧次要版本的节点组件(kubelet
和kube-proxy
)便可与支持的最新次要版本的控制面板组件(kube-apiserver
、kube-scheduler
、kube-controller-manager
、cloud-controller-manager
)一起使用。 -
Pod GC Controller
中的指标force_delete_pods_total
和force_delete_pod_errors_total
已增强,可以将所有强制容器组(pod)删除考虑在内。在指标中添加了一个原因,指示容器组(pod)是由于已终止、已孤立、因服务中断污点而终止还是已终止但未计划。 -
PersistentVolume (PV)
控制器已修改为自动为任何storageClassName
未设置的未绑定PersistentVolumeClaim
分配默认值StorageClass
。此外,API 服务器内的PersistentVolumeClaim
准入验证机制已经过调整,允许将值从未设置状态更改为实际StorageClass
名称。
有关完整的 Kubernetes 1.28
更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.28.md#changelog-since-v1270
Kubernetes1.27
Kubernetes 1.27
现已在 Amazon EKS 中推出。有关 Kubernetes 1.27
的更多信息,请参阅官方发布公告
重要
-
已移除对 alpha
seccomp
注释seccomp.security.alpha.kubernetes.io/pod
和container.seccomp.security.alpha.kubernetes.io
注释的支持。alphaseccomp
注释在1.19
中已弃用,随着它们在1.27
中的移除,Pods
的seccomp
字段将不再自动填充seccomp
注释。反之,将会使用Pods
或容器的securityContext.seccompProfile
字段配置seccomp
配置文件 要检查您是否在集群中使用了弃用的 alphaseccomp
注释,请运行以下命令:kubectl get pods --all-namespaces -o json | grep -E 'seccomp.security.alpha.kubernetes.io/pod|container.seccomp.security.alpha.kubernetes.io'
-
kubelet
的--container-runtime
命令行参数已移除。Amazon EKS 的默认容器运行时系统自1.24
开始便已containerd
,从而不需要指定容器运行时系统。从1.27
开始,Amazon EKS 将忽略传递给任何引导脚本的--container-runtime
参数。重要的是不要将此参数传递给--kubelet-extra-args
,以防止在节点引导过程中出现错误。您必须从所有节点创建工作流和生成脚本中删除--container-runtime
参数。
-
Kubernetes
1.27
中的kubelet
将默认值kubeAPIQPS
增加到50
,将kubeAPIBurst
增加到100
。这些增强功能使kubelet
能够处理更多的 API 查询,从而缩短响应时间并提高性能。当Pods
的需求由于扩展要求而增加时,修订后的默认值可确保kubelet
能够有效地管理增加的工作负载。因此,Pod
启动速度更快,集群操作更有效。 -
您可以使用更精细的
Pod
拓扑结构来传播策略,例如minDomain
。此参数使您能够指定Pods
应分布的最小域数量。nodeAffinityPolicy
和nodeTaintPolicy
允许在管理Pod
分布时提供额外的精细度。这与您Pod's
规范的topologySpreadConstraints
中的节点亲和性、污点和matchLabelKeys
字段一致。这样一来,便可以在滚动升级后选择Pods
进行发散计算。 -
Kubernetes
1.27
已升级到测试版,StatefulSets
的控制其PersistentVolumeClaims
(PVCs
)生命周期的新策略机制。新的PVC
保留策略可让您指定在删除StatefulSet
或缩减StatefulSet
中的副本时,通过StatefulSet
规范模板生成的PVCs
将会自动删除还是保留。 -
Kubernetes API 服务器中的
goaway-chance
选项通过随机关闭连接,帮助防止 HTTP/2
客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本1.27
已启用goaway-chance
标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与HTTP GOAWAY
不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY
。
有关完整的 Kubernetes 1.27
更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.27.md#changelog-since-v1260
Kubernetes1.26
Kubernetes 1.26
现已在 Amazon EKS 中推出。有关 Kubernetes 1.26
的更多信息,请参阅官方发布公告
重要
Kubernetes 1.26
不再支持 CRI v1alpha2
。如果容器运行时系统不支持 CRI v1
,这会导致 kubelet
不再注册该节点。这也意味着 Kubernetes 1.26
不支持 containerd 1.5
次要版本及更早版本。如果您使用的是 containerd,则需要先升级到 containerd 1.6.0
版本或更高版本,然后再将任何节点升级到 Kubernetes 1.26
。您还需要升级任何其他仅支持 v1alpha2
的容器运行时系统。有关更多信息,请咨询容器运行时系统供应商。默认情况下,Amazon Linux 和 Bottlerocket AMI 包含 containerd 1.6.6
版本。
-
在升级到 Kubernetes
1.26
之前,请将您的 Amazon VPC CNI plugin for Kubernetes 升级到1.12
版本或更高版本。如果您不升级到 Amazon VPC CNI plugin for Kubernetes 版本1.12
或者更高版本,则 Amazon VPC CNI plugin for Kubernetes 将会崩溃。有关更多信息,请参阅 使用 Amazon VPC CNI plugin for Kubernetes Amazon EKS 附加组件。 -
Kubernetes API 服务器中的
goaway-chance
选项通过随机关闭连接,帮助防止 HTTP/2
客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本1.26
已启用goaway-chance
标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与HTTP GOAWAY
不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY
。
有关完整的 Kubernetes 1.26
更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.26.md#changelog-since-v1250
Kubernetes1.25
Kubernetes 1.25
现已在 Amazon EKS 中推出。有关 Kubernetes 1.25
的更多信息,请参阅官方发布公告
重要
-
从 Kubernetes 版本
1.25
开始,您将无法再将 Amazon EC2P2
实例与现成的 Amazon EKS 优化加速 Amazon Linux AMI 结合使用。对于 Kubernetes 版本1.25
或更高版本,这些 AMI 将支持NVIDIA 525
系列或更高版本的驱动程序,这些驱动程序与P2
实例不兼容。但NVIDIA 525
系列或更高版本的驱动程序与P3
、P4
和P5
实例兼容,因此您可以通过 Kubernetes 版本1.25
或更高版本的 AMI 使用这些实例。请首先将所有P2
实例迁移到P3
、P4
和P5
实例,然后再将您的 Amazon EKS 集群升级到版本1.25
。您还应主动升级您的应用程序以支持NVIDIA 525
系列或更高版本。我们计划在 2024 年 1 月晚些时候将更新的NVIDIA 525
系列或更新驱动程度反向移植到 Kubernetes 版本1.23
和1.24
。 -
PodSecurityPolicy
(PSP)已在 Kubernetes1.25
中删除。PSPs 被容器组(pod)安全准入(PSA)和容器组(pod)安全标准 (PSS) 替代。PSA 是一个内置的准入控制器,它实施 PSS 中所述的安全控件。PSA 和 PSS 在 Kubernetes 1.25
中逐步达到稳定,并在 Amazon EKS 中被默认启用。如果您的集群中有 PSPs,则请确保在将集群升级到版本1.25
之前,从 PSP 迁移到内置的 Kubernetes PSS 或策略即代码解决方案。如果您不从 PSP 迁移,则您的工作负载可能会中断。有关更多信息,请参阅 容器组(pod)安全策略 (PSP) 移除常见问题。 -
Kubernetes 版本
1.25
包含了若干更改,这些更改会修改名为 API 优先级和公平性(APF)的现有功能的行为。在出现大量的请求期间,APF 可保护 API 服务器免受可能的过载影响。为此,它会限制在任何给定时间可以处理的并发请求数量。实现这一点的方法是对来自不同工作负载或用户的请求执行不同的优先级和限制。这种方法可确保优先处理关键应用程序或高优先级请求,同时防止低优先级请求使 API 服务器不堪重负。有关更多信息,请参见 Kubernetes 文档中的 API 优先级和公平性或《EKS 最佳实践指南》中的 API 优先级和公平性 。 这些更新是在 PR #10352
和 PR #118601 中推出的。以前,APF 对所有类型的请求会一视同仁,每个请求都会消耗并发请求限制的一个单位。APF 行为更改后,系统会将较高的并发单位分配给 LIST
请求,因为这些请求给 API 服务器带来了异常沉重的负担。API 服务器会估算LIST
请求将要返回的对象数量。然后按照返回的对象数量分配一个相适应的并发单位。升级到 Amazon EKS 版本
1.25
或更高版本后,此更新后的行为可能会导致有大量LIST
请求工作负载(以前可以正常运行)受到速率限制。这将通过 HTTP 429 响应代码来提示。为避免因LIST
请求受到速率限制而可能导致的工作负载中断,我们强烈建议您调整工作负载以降低此类请求的速率。您还可以通过调整 APF 设置,为关键请求分配更多容量,同时减少分配给非关键请求的容量,从而解决此问题。有关这些问题缓解技术的更多信息,请参阅《EKS 最佳实践指南》中的 防止请求被丢弃。 -
Amazon EKS
1.25
包括对集群身份验证的增强,其中包含更新的 YAML 库。如果在kube-system
命名空间中找到的aws-auth
ConfigMap
的 YAML 值以宏开头,则其中第一个字符是大括号,则应在大括号({ }
)之前和之后添加引号(“ ”
)。确保aws-iam-authenticator
版本v0.6.3
准确解析 Amazon EKS1.25
中的aws-auth
ConfigMap
需要此操作。 -
EndpointSlice
的测试版 API(discovery.k8s.io/v1beta1
)已在 Kubernetes1.21
中弃用,自 Kubernetes1.25
起不再提供。此 API 已更新为discovery.k8s.io/v1
。有关更多信息,请参阅 Kubernetes文档中的EndpointSlice
。Amazon Load Balancer Controller v2.4.6
和更早版本使用v1beta1
端点与EndpointSlices
通信。如果您将EndpointSlices
配置用于 Amazon Load Balancer Controller,则必须先升级到 Amazon Load Balancer Controllerv2.4.7
,然后才能将 Amazon EKS 集群升级到1.25
。如果您在将EndpointSlices
配置用于 Amazon Load Balancer Controller 时升级到1.25
,则控制器将崩溃并导致您的工作负载中断。要升级控制器,请参阅 Amazon Load Balancer Controller 是什么?。
-
SeccompDefault
已提升到 Kubernetes1.25
中的测试版。通过在配置kubelet
时设置--seccomp-default
标志,容器运行时使用其RuntimeDefault
seccomp
配置文件,而不是无约束(seccomp disabled
)模式。默认配置文件提供了一组强大的安全默认值,同时保留了工作负载的功能。尽管此标志可用,但默认情况下,Amazon EKS 不启用此标志,因此 Amazon EKS 的行为实际上没有变化。如果愿意,您可以开始在您的节点上启用这个功能。有关更多详细信息,请参阅 Kubernetes 文档中的教程使用 seccomp 限制容器的系统调用。 -
Kubernetes
1.24
及更高版本中删除了对 Docker(也称为Dockershim
)的容器运行时接口(CRI)的支持。Kubernetes1.24
及更高版本集群的 Amazon EKS 官方 AMIs 的唯一容器运行时是containerd
。在升级到 Amazon EKS1.24
或更高版本之前,删除对不再支持的引导脚本标志的任何引用。有关更多信息,请参阅 Amazon EKS 结束了对 Dockershim 的支持。 -
对通配符查询的支持已在 CoreDNS
1.8.7
中被弃用并在 CoreDNS1.9
中被移除。此操作作为一项安全措施而执行。通配符查询不再起作用,并返回NXDOMAIN
而不是 IP 地址。 -
Kubernetes API 服务器中的
goaway-chance
选项通过随机关闭连接,帮助防止 HTTP/2
客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本1.25
已启用goaway-chance
标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与HTTP GOAWAY
不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY
。
有关完整的 Kubernetes 1.25
更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.25.md#changelog-since-v1240