Amazon EKS Kubernetes 版本 - Amazon EKS
可用的 Amazon EKS Kubernetes 版本Kubernetes 1.27Kubernetes 1.26Kubernetes 1.25Kubernetes 1.24Kubernetes 1.23Amazon EKS Kubernetes 发布日历Amazon EKS 版本支持和常见问题
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon EKS Kubernetes 版本

该 Kubernetes 项目持续整合新功能、设计更新和错误修复。社区发布了新的 Kubernetes 次要版本,例如 1.27。平均每三个月提供一次新版本更新。每个次要版本在首次发布后约 12 个月内受支持。

可用的 Amazon EKS Kubernetes 版本

以下 Kubernetes 版本目前可用于新的 Amazon EKS 集群:

  • 1.27

  • 1.26

  • 1.25

  • 1.24

  • 1.23

如果您的应用程序需要一个特定版本的 Kubernetes,我们建议您为您的集群使用 Amazon EKS 支持的最新可用 Kubernetes 版本。随着新 Kubernetes 版本在 Amazon EKS 中提供,我们建议您主动将集群更新为使用最新的可用版本。有关如何更新集群的说明,请参阅 更新 Amazon EKS 集群 Kubernetes 版本。有关 Kubernetes 版本的更多信息,请参阅 Amazon EKS Kubernetes 发布日历Amazon EKS 版本支持和常见问题

注意

对于 1.24 和更高版本的集群,正式发布的 Amazon EKS AMI 包括 containerd 作为唯一的运行时。低于 1.24 的 Kubernetes 版本将使用 Docker 作为默认运行时。这些版本有一个引导标志选项,您可以使用该选项在任何受支持的集群上通过 containerd 测试工作负载。有关更多信息,请参阅Amazon EKS 结束了对 Dockershim 的支持

Kubernetes 1.27

Kubernetes 1.27 现已在 Amazon EKS 中推出。有关 Kubernetes 1.27 的更多信息,请参阅官方发布公告

重要

  • 已移除对 alpha seccomp 注释 seccomp.security.alpha.kubernetes.io/podcontainer.seccomp.security.alpha.kubernetes.io 注释的支持。alpha seccomp 注释在 1.19 中已弃用,随着它们在 1.27 中的移除,Podsseccomp 字段将不再自动填充 seccomp 注释。反之,将会使用 Pods 或容器的 securityContext.seccompProfile 字段配置 seccomp 配置文件 要检查您是否在集群中使用了弃用的 alpha seccomp 注释,请运行以下命令:

    kubectl get pods --all-namespaces -o json | grep -E 'seccomp.security.alpha.kubernetes.io/pod|container.seccomp.security.alpha.kubernetes.io'

  • kubelet--container-runtime 命令行参数已移除。Amazon EKS 的默认容器运行时系统自 1.24 开始便已 containerd,从而不需要指定容器运行时系统。从 1.27 开始,Amazon EKS 将忽略传递给任何引导脚本的 --container-runtime 参数。重要的是不要将此参数传递给 --kubelet-extra-args,以防止在节点引导过程中出现错误。您必须从所有节点创建工作流和生成脚本中删除 --container-runtime 参数。

  • Kubernetes 1.27 中的 kubelet 将默认值 kubeAPIQPS 增加到 50,将 kubeAPIBurst 增加到 100。这些增强功能使 kubelet 能够处理更多的 API 查询,从而缩短响应时间并提高性能。当 Pods 的需求由于扩展要求而增加时,修订后的默认值可确保 kubelet 能够有效地管理增加的工作负载。因此,Pod 启动速度更快,集群操作更有效。

  • 您可以使用更精细的 Pod 拓扑结构来传播策略,例如 minDomain。此参数使您能够指定 Pods 应分布的最小域数量。nodeAffinityPolicynodeTaintPolicy 允许在管理 Pod 分布时提供额外的精细度。这与您 Pod's 规范的 topologySpreadConstraints 中的节点亲和性、污点和 matchLabelKeys 字段一致。这样一来,便可以在滚动升级后选择 Pods 进行发散计算。

  • Kubernetes1.27 已升级到测试版,StatefulSets 的控制其 PersistentVolumeClaimsPVCs)生命周期的新策略机制。新的 PVC 保留策略可让您指定在删除 StatefulSet 或缩减 StatefulSet 中的副本时,通过 StatefulSet 规范模板生成的 PVCs 将会自动删除还是保留。

  • Kubernetes API 服务器中的 goaway-chance 选项通过随机关闭连接,帮助防止 HTTP/2 客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本 1.27 已启用 goaway-chance 标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与 HTTP GOAWAY 不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY

有关完整的 Kubernetes 1.27 更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.27.md

Kubernetes 1.26

Kubernetes 1.26 现已在 Amazon EKS 中推出。有关 Kubernetes 1.26 的更多信息,请参阅官方发布公告

重要

Kubernetes 1.26 不再支持 CRI v1alpha2。如果容器运行时系统不支持 CRI v1,这会导致 kubelet 不再注册该节点。这也意味着 Kubernetes 1.26 不支持 containerd 1.5 次要版本及更早版本。如果您使用的是 containerd,则需要先升级到 containerd 1.6.0 版本或更高版本,然后再将任何节点升级到 Kubernetes 1.26。您还需要升级任何其他仅支持 v1alpha2 的容器运行时系统。有关更多信息,请咨询容器运行时系统供应商。默认情况下,Amazon Linux 和 Bottlerocket AMI 包含 containerd 1.6.6 版本。

  • 在升级到 Kubernetes 1.26 之前,请将您的 Amazon VPC CNI plugin for Kubernetes 升级到 1.12 版本或更高版本。如果您不升级到 Amazon VPC CNI plugin for Kubernetes 版本 1.12 或者更高版本,则 Amazon VPC CNI plugin for Kubernetes 将会崩溃。有关更多信息,请参阅使用适用于 Kubernetes Amazon EKS 附加组件的 Amazon VPC CNI plugin for Kubernetes

  • Kubernetes API 服务器中的 goaway-chance 选项通过随机关闭连接,帮助防止 HTTP/2 客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本 1.26 已启用 goaway-chance 标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与 HTTP GOAWAY 不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY

有关完整的 Kubernetes 1.26 更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.26.md

Kubernetes 1.25

Kubernetes 1.25 现已在 Amazon EKS 中推出。有关 Kubernetes 1.25 的更多信息,请参阅官方发布公告

重要

  • PodSecurityPolicy(PSP)已在 Kubernetes 1.25 中删除。PSPs 被容器组(pod)安全准入(PSA)和容器组(pod)安全标准 (PSS) 替代。PSA 是一个内置的准入控制器,它实施 PSS 中所述的安全控件。PSA 和 PSS 在 Kubernetes 1.25 中逐步达到稳定,并在 Amazon EKS 中被默认启用。如果您的集群中有 PSPs,则请确保在将集群升级到版本 1.25 之前,从 PSP 迁移到内置的 Kubernetes PSS 或策略即代码解决方案。如果您不从 PSP 迁移,则您的工作负载可能会中断。有关更多信息,请参阅 容器组(pod)安全策略 (PSP) 移除常见问题

  • Kubernetes 版本 1.25 包含了若干更改,这些更改会修改名为 API 优先级和公平性(APF)的现有功能的行为。在出现大量的请求期间,APF 可保护 API 服务器免受可能的过载影响。为此,它会限制在任何给定时间可以处理的并发请求数量。实现这一点的方法是对来自不同工作负载或用户的请求执行不同的优先级和限制。这种方法可确保优先处理关键应用程序或高优先级请求,同时防止低优先级请求使 API 服务器不堪重负。有关更多信息,请参见 Kubernetes 文档中的 API 优先级和公平性 或《EKS 最佳实践指南》中的 API 优先级和公平性

    这些更新是在 PR #10352PR #118601 中推出的。以前,APF 对所有类型的请求会一视同仁,每个请求都会消耗并发请求限制的一个单位。APF 行为更改后,系统会将较高的并发单位分配给 LIST 请求,因为这些请求给 API 服务器带来了异常沉重的负担。API 服务器会估算 LIST 请求将要返回的对象数量。然后按照返回的对象数量分配一个相适应的并发单位。

    升级到 Amazon EKS 版本 1.25 或更高版本后,此更新后的行为可能会导致有大量 LIST 请求工作负载(以前可以正常运行)受到速率限制。这将通过 HTTP 429 响应代码来提示。为避免因 LIST 请求受到速率限制而可能导致的工作负载中断,我们强烈建议您调整工作负载以降低此类请求的速率。您还可以通过调整 APF 设置,为关键请求分配更多容量,同时减少分配给非关键请求的容量,从而解决此问题。有关这些问题缓解技术的更多信息,请参阅《EKS 最佳实践指南》中的 防止请求被丢弃

  • Amazon EKS 1.25 包括对集群身份验证的增强,其中包含更新的 YAML 库。如果在 kube-system 命名空间中找到的 aws-auth ConfigMap 的 YAML 值以宏开头,则其中第一个字符是大括号,则应在大括号({ })之前和之后添加引号(“ ”)。确保 aws-iam-authenticator 版本 v0.6.3 准确解析 Amazon EKS 1.25 中的 aws-auth ConfigMap 需要此操作。

  • EndpointSlice 的测试版 API(discovery.k8s.io/v1beta1)已在 Kubernetes 1.21 中弃用,自 Kubernetes 1.25 起不再提供。此 API 已更新为 discovery.k8s.io/v1。有关更多信息,请参阅 Kubernetes文档中的 EndpointSlice。Amazon Load Balancer Controller v2.4.6 和更早版本使用 v1beta1 端点与 EndpointSlices 通信。如果您将 EndpointSlices 配置用于 Amazon Load Balancer Controller,则必须先升级到 Amazon Load Balancer Controller v2.4.7然后才能将 Amazon EKS 集群升级到 1.25。如果您在将 EndpointSlices 配置用于 Amazon Load Balancer Controller 时升级到 1.25,则控制器将崩溃并导致您的工作负载中断。要升级控制器,请参阅 安装 Amazon Load Balancer Controller 附加组件

  • SeccompDefault 已提升到 Kubernetes 1.25 中的测试版。通过在配置 kubelet 时设置 --seccomp-default 标志,容器运行时使用其 RuntimeDefaultseccomp 配置文件,而不是无约束(seccomp disabled)模式。默认配置文件提供了一组强大的安全默认值,同时保留了工作负载的功能。尽管此标志可用,但默认情况下,Amazon EKS 不启用此标志,因此 Amazon EKS 的行为实际上没有变化。如果愿意,您可以开始在您的节点上启用这个功能。有关更多详细信息,请参阅 Kubernetes 文档中的教程使用 seccomp 限制容器的系统调用

  • Kubernetes 1.24 及更高版本中删除了对 Docker(也称为 Dockershim)的容器运行时接口(CRI)的支持。Kubernetes 1.24 及更高版本集群的 Amazon EKS 官方 AMIs 的唯一容器运行时是 containerd。在升级到 Amazon EKS 1.24 或更高版本之前,删除对不再支持的引导脚本标志的任何引用。有关更多信息,请参阅Amazon EKS 结束了对 Dockershim 的支持

  • 对通配符查询的支持已在 CoreDNS 1.8.7 中被弃用并在 CoreDNS 1.9 中被移除。此操作作为一项安全措施而执行。通配符查询不再起作用,并返回 NXDOMAIN 而不是 IP 地址。

  • Kubernetes API 服务器中的 goaway-chance 选项通过随机关闭连接,帮助防止 HTTP/2 客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本 1.25 已启用 goaway-chance 标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与 HTTP GOAWAY 不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY

有关完整的 Kubernetes 1.25 更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.25.md#changelog-since-v1240

Kubernetes 1.24

Kubernetes 1.24 现已在 Amazon EKS 中推出。有关 Kubernetes 1.24 的更多信息,请参阅官方发布公告

重要

  • 从 Kubernetes 1.24 开始,默认情况下集群中不启用新的测试版 API。默认情况下,现有的测试版 API 及其新版本继续处于启用状态。Amazon EKS 遵循与上游的 Kubernetes 1.24 相同的行为。默认情况下,控制新 API 操作和现有 API 操作的新功能的功能门控处于启用状态。这与上游 Kubernetes 一致。有关更多信息,请参阅 GitHub 上的 KEP-3136: Beta APIs Are Off by Default(KEP-3136:测试版 API 默认处于关闭状态)。

  • Kubernetes 1.24 中删除了对 Docker(也称为 Dockershim)的容器运行时接口(CRI)的支持。Amazon EKS 官方 AMI 将 containerd 作为唯一的运行时。在迁移到 Amazon EKS 1.24 或更高版本之前,必须删除对不再支持的引导脚本标志的任何引用。您还必须确保已为 Worker 节点启用 IP 转发。有关更多信息,请参阅Amazon EKS 结束了对 Dockershim 的支持

  • 如果您已经为 Container Insights 进行了 Fluentd 配置,则必须先将 Fluentd 迁移到 Fluent Bit,然后才能更新集群。Fluentd 解析器配置为仅解析 JSON 格式的日志消息。与 dockerd 不同的是,containerd 容器运行时系统的日志消息不是 JSON 格式的。如果您不迁移到 Fluent Bit,一些配置的 Fluentd's 解析器将在 Fluentd 容器内生成大量错误。有关迁移的更多信息,请参阅将 Fluent Bit 设置为 DaemonSet 以将日志发送到 CloudWatch Logs

  • 在 Kubernetes 1.23 及早期版本中,具有不可验证的 IP 和 DNS 使用者备用名称(SAN)的 kubelet 服务证书会自动使用不可验证的 SAN 进行颁发。预置的证书中省略了这些不可验证的 SAN。在 1.24 版及更高版本的集群中,如果无法验证任何 SAN,则不会颁发 kubelet 服务证书。这会阻止 kubectl exec 和 kubectl logs 命令发挥作用。有关更多信息,请参阅将集群升级到 Kubernetes 1.24 之前的证书签名注意事项

  • 升级使用 Fluent Bit 的 Amazon EKS 1.23 集群时,必须确保其运行 k8s/1.3.12 或更高版本。要实现这一点,您可以重新应用来自 GitHub 的最新适用 Fluent Bit YAML 文件。有关更多信息,请参阅《Amazon CloudWatch 用户指南》中的设置 Fluent Bit

  • 当跨多个可用区部署集群 Worker 节点时,您可以使用拓扑感知提示(Topology Aware Hints)来表明您希望将流量保持在区域内。在区域内路由流量有助于降低成本和提高网络性能。默认情况下,拓扑感知提示在 Amazon EKS 1.24 中处于启用状态。有关更多信息,请参阅 Kubernetes 文档中的 Topology Aware Hints(拓扑感知提示)。

  • Kubernetes 1.25 计划删除 PodSecurityPolicy(PSP)。PSPs 正在被 Pod Security Admission (PSA)(容器组(pod)安全准入(PSA))所取代。PSA 是一个内置的准入控制器,使用了 Pod Security Standards(PSS)(容器组(pod)安全标准(PSS))中所述的安全控件。PSA 和 PSS 都是测试版功能,默认情况下在 Amazon EKS 中处于启用状态。为了解决 1.25 版中的 PSP 删除问题,我们建议您在 Amazon EKS 中实施 PSS。有关更多信息,请参阅 Amazon 博客上的 Implementing Pod Security Standards in Amazon EKS(在 Amazon EKS 中实施容器组(pod)安全标准)。

  • Kubernetes 1.24 中删除了 client.authentication.k8s.io/v1alpha1 ExecCredential。ExecCredential API 通常在 Kubernetes 1.22 中可用。如果您使用依赖于 v1alpha1 API 的 client-go 凭证插件,请联系您的插件分销商,了解如何迁移到 v1 API。

  • 对于 Kubernetes 1.24,我们为上游 Cluster Autoscaler 项目贡献了一项功能,该功能简化了从/向零节点扩展 Amazon EKS 托管节点组的过程。以前,要让 Cluster Autoscaler 了解扩展到零节点的托管节点组的资源、标签和污点,您需要使用其负责的节点的详细信息来标记底层 Amazon EC2 Auto Scaling 组。现在,当托管节点组中没有正在运行的节点时,Cluster Autoscaler 会调用 Amazon EKS DescribeNodegroup API 操作。此 API 操作提供了 Cluster Autoscaler 所需有关托管节点组的资源、标签和污点的信息。此功能要求您向 Cluster Autoscaler 服务账户 IAM policy 添加 eks:DescribeNodegroup 权限。当为 Amazon EKS 托管节点组提供支持的自动扩缩组上 Cluster Autoscaler 标签的值与节点组本身发生冲突时,Cluster Autoscaler 倾向于使用自动扩缩组标签的值。这样您就能根据需要覆盖值。有关更多信息,请参阅Autoscaling

  • 如果您打算在 Amazon EKS 1.24 中使用 Inferentia 或 Trainium 实例类型,则必须升级到 Amazon Neuron 设备插件 1.9.3.0 版或更高版本。有关更多信息,请参阅 Amazon Neuron 文档中的 Neuron K8 release [1.9.3.0](Neuron K8 版本 [1.9.3.0])。

  • 默认情况下,Containerd 已为 Pods 启用 IPv6。它将节点内核设置应用于 Pod 网络命名空间。因此,Pod 中的容器绑定到 IPv4127.0.0.1)和 IPv6::1)环回地址。IPv6 是通信的默认协议。在将集群更新到版本 1.24 之前,建议您测试您的多容器 Pods。修改应用程序,使其可以绑定到环回接口上的所有 IP 地址。大多数库都启用了 IPv6 绑定,绑定向后兼容 IPv4。当无法修改您的应用程序代码时,您有两种选择:

    • 运行 init 容器并将 disable ipv6 设置为 truesysctl -w net.ipv6.conf.all.disable ipv6=1)。

    • 配置一个转换准入 Webhook 以在您的应用程序 Pods 旁注入 init 容器。

    如果您需要为所有节点上的所有 Pods 阻止 IPv6,则可能必须在实例上禁用 IPv6

  • Kubernetes API 服务器中的 goaway-chance 选项通过随机关闭连接,帮助防止 HTTP/2 客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本 1.24 已启用 goaway-chance 标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与 HTTP GOAWAY 不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY

有关完整的 Kubernetes 1.24 更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.24.md#changelog-since-v1230

Kubernetes 1.23

Kubernetes 1.23 现已在 Amazon EKS 中推出。有关 Kubernetes 1.23 的更多信息,请参阅官方发布公告

重要

Kubernetes 树内插件至 Container Storage Interface(CSI)卷的迁移功能已启用。此功能支持使用相应的 Amazon EBS CSI 驱动程序替换适用于 Amazon EBS 的现有 Kubernetes 树内存储插件。有关更多信息,请参阅 Kubernetes 博客上的 Kubernetes 1.17 Feature: Kubernetes In-Tree to CSI Volume Migration Moves to Beta(1.17 功能:树内插件至 CSI 卷的迁移功能推出测试版)。

该功能将树内 API 转换为等效的 CSI API,并将操作委派给替换 CSI 驱动程序。借助此功能,如果您使用的是属于这些工作负载的现有 StorageClassPersistentVolumePersistentVolumeClaim 对象,则可能不会有任何明显变化。该功能支持 Kubernetes 将树内插件的所有存储管理操作委派给 CSI 驱动程序。如果您在现有集群中使用 Amazon EBS 卷,请在将集群更新为 1.23 版之前,在集群中安装 Amazon EBS CSI 驱动程序。如果未在更新现有集群之前安装驱动程序,则可能会中断您的工作负载。如果您计划在新的 1.23 版集群中部署使用 Amazon EBS 卷的工作负载,请在集群中部署工作负载之前,在集群中安装 Amazon EBS CSI 驱动程序。有关如何在集群上安装 Amazon EBS CSI 驱动程序的说明,请参阅 Amazon EBS CSI 驱动程序。有关迁移功能的常见问题,请参阅 Amazon EBS CSI 迁移常见问题

  • Kubernetes 已停止支持版本 1.20 中的 dockershim,并已删除版本 1.24 中的 dockershim。有关更多信息,请参阅 Kubernetes 博客上的 Kubernetes 正在舍弃 Dockershim:承诺和后续步骤。从 Amazon EKS 1.24 版开始,Amazon EKS 将终止对 dockershim 的支持。从 Amazon EKS 版本 containerd 开始,Amazon EKS 官方 AMI 仅会将 1.24 作为唯一运行时。

    尽管 Amazon EKS 1.23 版继续支持 dockershim,我们仍建议您立即开始测试自己的应用程序,以识别和删除任何 Docker 依赖项。如此,您就可以做好将集群更新到版本 1.24 的准备。有关删除 dockershim 的更多信息,请参阅 Amazon EKS 结束了对 Dockershim 的支持

  • Kubernetes 已将 IPv4/IPv6 双堆栈联网功能升级到正式版本,可供 Pods、服务和节点使用。但是,Amazon EKS 和 Amazon VPC CNI plugin for Kubernetes 目前不支持双堆栈联网。您的集群可以将 IPv4IPv6 地址分配给 Pods 和服务,但不能同时分配两种地址类型。

  • Kubernetes 已将容器组(pod)安全准入(PSA)功能升级到测试版。该功能已默认启用。有关更多信息,请参阅 Kubernetes 文档中的 Pod Security Admission [容器组(pod)安全准入]。PSA 将取代容器组(pod)安全策略(PSP)准入控制器。PSP 准入控制器不受支持,计划在 Kubernetes 版本 1.25 中删除。

    PSP 准入控制器根据设置强制级别的特定命名空间标签,在命名空间中的 Pod 上强制实施 Pods 安全标准。有关更多信息,请参阅 Amazon EKS 最佳实践指南中的 Pod Security Standards (PSS) and Pod Security Admission (PSA) [容器组(pod)安全标准(PSS)和容器组(pod)安全准入(PSA)]。

  • 使用集群部署的 kube-proxy 映像现在是 Amazon EKS Distro(EKS-D)维护的最低要求基本映像。该映像包含最低要求的程序包,并且没有 Shell 或程序包管理器。

  • Kubernetes 已将临时容器升级到测试版。临时容器是在与现有 Pod 相同的命名空间中运行的暂时性容器。您可以用它们来观察 Pods 和容器的状态,以便排查问题并进行调试。当 kubectl exec 因容器崩溃或容器映像不包含调试实用程序而不足时,这种容器对于交互式排查问题尤其有用。包含调试实用程序的示例容器是 Distroless 映像。有关更多信息,请参阅 Kubernetes 文档中的 Debugging with an ephemeral debug container(使用临时调试容器进行调试)。

  • Kubernetes 已将 HorizontalPodAutoscaler autoscaling/v2 稳定 API 升级到正式版本。HorizontalPodAutoscaler autoscaling/v2beta2 API 已弃用。其在 1.26 中不可用。

  • Kubernetes API 服务器中的 goaway-chance 选项通过随机关闭连接,帮助防止 HTTP/2 客户端连接卡在单个 API 服务器实例上。连接关闭后,客户端将尝试重新连接,并且由于负载均衡,很可能会登录不同的 API 服务器。Amazon EKS 版本 1.23 已启用 goaway-chance 标志。如果您在 Amazon EKS 集群上运行的工作负载使用的客户端与 HTTP GOAWAY 不兼容,则建议您在连接终止时重新连接,以更新您的客户端处理 GOAWAY

有关完整的 Kubernetes 1.23 更改日志,请参阅https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.23.md#changelog-since-v1220

Amazon EKS Kubernetes 发布日历

注意

只有月份和年份的发布日期均为大概日期,这些日期会在确切日期明确后进行更新。

Kubernetes 版本 上游版本 Amazon EKS 版本 Amazon EKS 支持终止
1.28 2023 年 8 月 15 日 2023 年 9 月 2024 年 11 月
1.27 2023 年 4 月 11 日 2023 年 5 月 24 日 2024 年 7 月
1.26 2022 年 12 月 9 日 2023 年 4 月 11 日 2024 年 6 月
1.25 2022 年 8 月 23 日 2023 年 2 月 22 日 2024 年 5 月
1.24 2022 年 5 月 3 日 2022 年 11 月 15 日 2024 年 1 月 31 日
1.23 2021 年 12 月 7 日 2022 年 8 月 11 日 2023 年 10 月 11 日

Amazon EKS 版本支持和常见问题

为了与 Kubernetes 社群对 Kubernetes 版本的支持保持一致,Amazon EKS 致力于在任何特定时间支持至少四个生产就绪的 Kubernetes 版本。我们会在支持结束之日前至少 60 天公告特定 Kubernetes 次要版本的支持结束日期。鉴于新 Kubernetes 版本的 Amazon EKS 鉴定和发布流程,Amazon EKS 上对某个 Kubernetes 版本的支持的结束日期将会是 Kubernetes 项目停止支持上游版本之日或之后。

常见问题

问:Amazon EKS 对某个 Kubernetes 版本的支持持续时间是多久?

答:一个 Kubernetes 版本首次在 Amazon EKS 上发布后在 14 个月内受支持。即使上游 Kubernetes 不再支持 Amazon EKS 上可用的版本,也是如此。我们向后移植适用于 Amazon EKS 上支持的 Kubernetes 版本的安全补丁。

问:当对 Amazon EKS 上的 Kubernetes 版本的支持结束时,我是否会收到通知?

答:可以。如果您账户中有任何集群正在运行即将终止支持的版本,Amazon EKS 会在 Kubernetes 版本在 Amazon EKS 上发布大约 12 个月后通过 Amazon Health Dashboard 发出通知。该通知包括支持结束日期。为从通知发出之日起至少 60 天。

问:支持结束之日会发生什么?

答:在支持结束之日,您将无法再使用不受支持的版本创建新的 Amazon EKS 集群。Amazon EKS 会在支持结束日期后通过逐步部署流程,自动将现有控制层面更新为最早的受支持版本。控制面板自动更新后,确保手动更新集群附加组件和 Amazon EC2 节点。有关更多信息,请参阅更新 Amazon EKS 集群的 Kubernetes 版本

问:在支持结束日期后,自动更新控制面板的确切时间是何时?

答:Amazon EKS 无法给出具体的时间范围。自动更新可以在支持结束日期后的任何时间进行。在更新之前,您不会收到任何通知。我们建议您主动更新您的控制面板,而不要依赖 Amazon EKS 自动更新流程。有关更多信息,请参阅更新 Amazon EKS 集群 Kubernetes 版本

问:我能否无限期地将控制面板留在某个 Kubernetes 版本上?

答:不能。Amazon的云安全性具有最高优先级。过去一段时间(通常为 1 年),Kubernetes 社群停止发布常见漏洞和风险(CVE)补丁程序,也不鼓励提交不受支持版本的 CVE。这意味着旧版本 Kubernetes 的特定漏洞甚至可能没有报告。这会在出现漏洞的情况下,集群被暴露且不会进行通知,也没有修复选项。鉴于此,Amazon EKS 不允许控制面板停留在支持已经结束的版本上。

问:Amazon EKS 支持哪些 Kubernetes 功能?

答:Amazon EKS 支持 Kubernetes API 的所有正式发布功能。它还支持所有测试版功能,这些功能在默认情况下启用。不支持 Alpha 功能。

问:Amazon EKS 托管节点组是否会随集群控制层面版本一起自动更新?

答:否。托管节点组在您的账户中创建 Amazon EC2 实例。当您或 Amazon EKS 更新控制层面时,这些实例不会自动升级。假设 Amazon EKS 会自动更新您的控制面板。您的托管节点组上的 Kubernetes 版本可能会比控制面板早一个版本以上。然后,假设托管节点组包含运行比控制面板早一个版本以上的 Kubernetes 版本的实例。该节点组在控制台中集群的 Compute(计算)选项卡的 Node groups(节点组)部分中存在运行状况问题。最后,如果节点组具有可用版本更新,则控制台中节点组旁边会显示 Update now(立即更新)。有关更多信息,请参阅更新托管节点组。我们建议您的控制面板和节点上保持相同的 Kubernetes 版本。

问:自行管理的节点组是否会随集群控制层面版本一起自动更新?

答:否。自行管理的节点组包括您的账户中的 Amazon EC2 实例。当您或 Amazon EKS 代表您更新控制面板版本时,这些实例不会自动升级。对于自行管理的节点组,控制台中没有任何其需要更新的标示。您可以在集群的 Overview(概览)选项卡上的 Nodes(节点)列表中选择节点查看其上安装的 kubelet 版本,确定哪些节点需要更新。您必须手动更新节点。有关更多信息,请参阅自行管理节点的更新

Kubernetes 项目最多测试两个次要版本的控制面板和节点之间的兼容性。例如,当 1.25 节点由 1.27 控制面板编排时,节点会继续运行。但是,不建议运行具有版本持续落后控制面板两个次要版本的节点的集群。有关更多信息,请参阅 Kubernetes 文档中的 Kubernetes 版本和版本倾斜支持政策。我们建议您的控制面板和节点上保持相同的 Kubernetes 版本。

问:Fargate 上运行的 Pods 是否通过自动集群控制面板版本升级而自动升级?

答:不会。我们强烈建议将 Fargate Pods 作为复制控制器(如 Kubernetes 部署)的一部分运行。然后依次重启所有的 Fargate Pods。新版本的 Fargate Pod 部署有一个 kubelet 版本,该版本与更新的集群控制面板版本相同。有关更多信息,请参阅 Kubernetes 文档中的部署

重要

如果您更新控制面板,则必须自行更新 Fargate 节点。要更新 Fargate 节点,请删除该节点表示的 Fargate Pod,然后重新部署 Pod。部署新的 Pod 时使用 kubelet 版本,该版本与您的集群版本相同。