Amazon EKS Kubernetes 版本

1.23

1.22

1.21

1.20

Kubernetes 已停止支持版本 1.20 中的 dockershim，并已删除版本 1.24 中的 dockershim。有关更多信息，请参阅 Kubernetes 博客上的 Kubernetes is Moving on From: Commitments and Next Steps（Kubernetes 正在舍弃 Dockershim：承诺和后续步骤）。从 Amazon EKS 版本 1.24 开始，Amazon EKS 将终止对 dockershim 的支持。从 Amazon EKS 版本 containerd 开始，Amazon EKS 官方 AMI 仅会将 1.24 作为唯一运行时。

尽管 Amazon EKS 版本 1.23 继续支持 dockershim，我们仍建议您立即开始测试自己的应用程序，以识别和删除任何 Docker 依赖项。如此，您就可以做好将集群更新到版本 1.24 的准备。有关删除 dockershim 的更多信息，请参阅 Amazon EKS 即将结束对 Dockershim 的支持。

Kubernetes 已将 IPv4/IPv6 双堆栈联网功能升级到正式版本，可供 pods、服务和节点使用。但是，Amazon EKS 和 Amazon VPC CNI plugin for Kubernetes 目前不支持双堆栈联网。您的集群可以将 IPv4 或 IPv6 地址分配给 pods 和服务，但不能同时分配两种地址类型。

Kubernetes 已将容器组（pod）安全准入功能升级到测试版。该功能已默认启用。有关更多信息，请参阅 Kubernetes 文档中的 Pod Security Admission [容器组（pod）安全准入]。容器组（pod）安全准入将取代容器组（pod）安全策略 (PSP) 准入控制器。PSP 准入控制器不受支持，计划在 Kubernetes 版本 1.25 中删除。

PSP 准入控制器根据设置强制级别的特定命名空间标签，在命名空间中的 pod 上强制实施 pods 安全标准。有关更多信息，请参阅 Amazon EKS 最佳实践指南中的 Pod Security Standards (PSS) and Pod Security Admission (PSA) [容器组（pod）安全标准（PSS）和容器组（pod）安全准入（PSA）]。

使用集群部署的 kube-proxy 映像现在是 Amazon EKS Distro（EKS-D）维护的最低要求基本映像。该映像包含最低要求的程序包，并且没有 shell 或程序包管理器。

Kubernetes 已将临时容器升级到测试版。临时容器是在与现有 pod 相同的命名空间中运行的暂时性容器。您可以用它们来观察 pods 和容器的状态，以便排查问题并进行调试。在 kubectl exec 不足时，这种容器对于交互式排查问题尤其有用，因为容器已崩溃或容器映像不包含调试实用程序。包含调试实用程序的示例容器是 Distroless 映像。有关更多信息，请参阅 Kubernetes 文档中的 Debugging with an ephemeral debug container（使用临时调试容器进行调试）。

Kubernetes 已将 HorizontalPodAutoscaler autoscaling/v2 稳定 API 升级到正式版本。不再支持 HorizontalPodAutoscaler autoscaling/v2beta2 API。

Kubernetes 1.22 将删除许多不再可用的 API。在升级到 Amazon EKS 版本 1.22 之前，您可能需要更改应用程序。更新集群前请严格按照 Kubernetes 版本 1.22 的先决条件 执行。

入口 API 版本 extensions/v1beta1 和 networking.k8s.io/v1beta1 已在 Kubernetes 1.22 中删除。如果您使用的是 Amazon Load Balancer Controller，您必须至少升级到版本 2.4.1才能将 Amazon EKS 集群升级到 1.22 版本。此外，您必须修改入口清单，才能使用 apiVersion networking.k8s.io/v1。此选项在 Kubernetes 版本 1.19 之后可用。有关入口 v1beta1 和 v1 之间的更改的更多信息，请参阅 Kubernetes 文档。Amazon Load Balancer Controller 控制器样本清单使用 v1 规格。

Amazon EKS 旧版 Windows 支持控制器使用已在 Kubernetes 1.22 中删除的 admissionregistration.k8s.io/v1beta1 API。如果您运行的是 Windows 工作负载，您必须删除旧版 Windows 支持并启用 Windows 支持才能升级到 Amazon EKS 版本 1.22。

CertificateSigningRequest（CSR） API 版本 certificates.k8s.io/v1beta1 已在 Kubernetes 版本 1.22 中删除。您必须迁移清单和 API 客户端才能使用 certificates.k8s.io/v1 CSR API。此 API 在版本 1.19 之后可用。有关如何在 Amazon EKS 中使用 CSR 的说明，请参阅证书签名。

CustomResourceDefinition API 版本 apiextensions.k8s.io/v1beta1 已在 Kubernetes 1.22 中删除。确保集群中的所有自定义资源定义都更新为 v1。需要 API 版本 v1 自定义资源定义才能定义 Open API v3 架构验证。有关更多信息，请参阅 Kubernetes 文档。

如果您使用的是 App Mesh，则必须至少升级到 App Mesh 控制器 v1.4.3 或更高版本才能升级到 Amazon EKS 版本 1.22。旧版本的 App Mesh 控制器使用 v1beta1 CustomResourceDefinition API 版本且不兼容 Kubernetes 版本 1.22 和更高版本。

Amazon EKS 版本 1.22 在默认情况下启用 EndpointSliceTerminatingCondition 功能，其中包括 EndpointSlices 中处于终止状态的 pods。如果您在 Amazon Load Balancer Controller 中将 enableEndpointSlices 设置为 True（默认为禁用），您必须至少升级到 Amazon Load Balancer Controller 版本 2.4.1+ 后才能升级到 Amazon EKS 版本 1.22。

从 Amazon EKS 版本 1.22 开始，默认配置了 kube-proxy 来公开 pod 之外的 Prometheus 指标。此行为更改解决了容器路线图问题 #657 中提出的请求。

Amazon EKS 版本 1.22 的初次发布使用 etcd 版本 3.4 作为后端，不受 etcd 版本 3.5 中存在的数据损坏的可能性的影响。

从 Amazon EKS 1.22 开始，Amazon EKS 从核心控制面板代码中解耦特定于 Amazon 云的控制逻辑到树外 Amazon Kubernetes 云控制器管理器。这与上游 Kubernetes 推荐一致。通过解耦 Kubernetes 与底层云基础设施之间的互操作性逻辑，cloud-controller-manager 组件使云提供商能够以与主要 Kubernetes 项目相比不同的速度发布功能。这种变化是透明的，无需采取任何行动。但是，当启用时，名为 cloud-controller-manager 的新日志流现在显示在 ControllerManager 日志类型下。有关更多信息，请参阅 Amazon EKS 控制面板日志记录。

从 Amazon EKS 1.22 开始，Amazon EKS 将服务账户的 IAM 角色（IRSA）使用的默认 Amazon Security Token Service 端点更改为区域性端点（而不是全局端点），以减少延迟和提高可靠性。您可以选择将 IRSA 配置为在 配置服务账户的 Amazon Security Token Service 端点 中使用全局端点。

服务器端应用功能升级到 GA - 服务器端应用功能帮助用户和控制器通过声明式配置管理其资源。它允许他们通过发送完全指定的目的以声明方式创建或修改对象。在几个版本中进入测试版后，服务器端应用功能现已正式发布。

使用不受支持的 API 的警告机制 – 使用不受支持的 API 会产生对 API 使用者可见的警告以及对集群管理员可见的指标。

pods、服务和节点上的双堆栈联网支持（IPv4 和 IPv6 地址）已达到测试版状态。但是，Amazon EKS 和 Amazon VPC CNI plugin for Kubernetes 目前不支持双堆栈联网。

Amazon EKS 优化版 Amazon Linux 2 AMI 现在包含一个引导启动标志，以启用 containerd 运行时作为 Docker 替代方案。此标志允许为在下一个 Kubernetes 版本中删除作为受支持运行时的 Docker 做准备。有关更多信息，请参阅启用 containerd 运行时间引导标记。这可以通过 Github 上的容器路线图进行跟踪。

托管节点组支持 Cluster Autoscaler 优先级扩展器。

Amazon EKS 版本 1.21 集群上新创建的托管节点组对基础自动扩缩组名称使用以下格式：

eks-managed-node-group-name-uuid

这样就可以根据用户定义的优先级使用 Cluster Autoscaler 的优先级扩展器功能。一个常见的使用案例是，将 Spot 节点组而不是按需节点组作为扩缩首选。此行为更改解决了 #1304 容器路线图问题。

CronJobs（前称为 ScheduledJobs）现已升级到稳定状态。此项更改后，用户定期执行计划的操作，例如备份和报告生成。

不可改变的密钥和 ConfigMaps 现已升级到稳定状态。已向这些对象添加了一个不可改变的新字段以拒绝更改。此拒绝可保护集群免受会意外中断应用程序的更新。由于这些资源是不可改变的，因此 kubelet 不会关注或者轮询更改。这将减少 kube-apiserver 负载并提高可扩展性和性能。

正常节点关机功能现已升级到测试版状态。此更新允许 kubelet 知道节点关闭，并能够正常终止该节点的 pods。在此更新之前，当节点关闭时，它的 pods 没有遵循预期的终止生命周期。这导致了工作负载问题。现在，kubelet 可以通过 systemd 检测即将发生的系统关闭，并通知正在运行的 pods，以便它们正常终止。

具有多个容器的容器组（pod）现在可以使用 kubectl.kubernetes.io/default-container 注释为 kubectl 命令预先选择容器。

PodSecurityPolicy 正被逐步淘汰。根据 PodSecurityPolicy 弃用指南，Kubernetes 仍可用于多个版本。要了解详情，请参阅 PodSecurityPolicy 弃用：过去、现在和将来和 Amazon 博客。

1.20 版本带来了新的原定设置角色和用户。您可以在原定设置 EKS Kubernetes 角色和用户中了解更多信息。请确保您使用的是支持的 cert-manager 版本。

API 优先级和公平性功能已达到测试状态，并且在预设情况下是处于已启用状态。此功能允许 kube-apiserver 按优先级对传入请求进行分类。

RuntimeClass 功能已达到稳定状态。RuntimeClass 资源提供了一种用于支持集群中多个运行时间的机制，并将有关该容器运行时的信息显示到控制层面。

进程 ID 限制功能现已升级到正式发布版本。

kubectl debug 已达到测试版状态。kubectl debug 直接支持来自 kubectl 的常见调试工作流。

Docker 容器运行时已逐步停止。Kubernetes 社群已经就这一点撰写了一篇详细的博客文章并提供了专门的常见问题页面。Docker 生成的镜像可以继续使用，并且会一如既往地发挥功能。您可以安全地忽略 kubelet 启动日志中打印的 dockershim 弃用警告消息。Amazon EKS 最终将迁移到 containerd，后者将作为 Amazon EKS 优化版 Amazon Linux 2 AMI 的运行时间。您可以参阅容器路线图问题，了解更多详细信息。

Pod Hostname as FQDN 功能已升级到测试版状态。此功能允许将 pod 的主机名设置为其完全限定域名（FQDN），从而能够将内核的主机名字段设置为 pod 的 FQDN。

client-go 凭证插件现在可以通过 KUBERNETES_EXEC_INFO 环境变量在当前集群信息中传递。此增强功能允许 Go 客户端使用密钥管理系统（KMS）等外部凭证提供程序进行身份验证。

从 1.19 版本开始，Amazon EKS 不再向在集群创建时传入的子网添加 kubernetes.io/cluster/my-cluster 标签。仅当您想影响 Kubernetes 服务控制器或 Amazon Load Balancer Controller 放置 Elastic Load Balancer 的位置时，才需要此子网标签。有关在集群创建过程中传递给 Amazon EKS 的子网的要求的更多信息，请参阅 Amazon EKS VPC 和子网要求和注意事项。

您不再需要为必须访问 Web 身份令牌文件以便与服务账户的 IAM 角色一起使用的无根容器提供安全上下文。有关更多信息，请参阅 GitHub 上的 服务账户的 IAM 角色 和预计服务账户卷中的文件权限处理建议。

pod 身份 Webhook 已更新，以解决缺少启动探测器的 GitHub 问题。Webhook 现在还支持控制令牌过期的注释。有关更多信息，请参阅 GitHub 拉取请求。

CoreDNS 版本 1.8.0 是推荐用于 Amazon EKS 1.19 集群的版本。预设情况下，此版本已安装在新的 Amazon EKS 1.19 集群中。有关更多信息，请参阅管理 CoreDNS 附加组件。

Amazon EKS 优化版 Amazon Linux 2 AMI 包括适用于 Kubernetes 版本 1.19 的 Linux 内核版本 5.4。有关更多信息，请参阅 GitHub 上的更改日志。有关更多信息，请参阅 。

CertificateSigningRequest API 已被提升为稳定 certificates.k8s.io/v1 并附带以下更改：

有关证书 v1 API 的更多详细信息，请参阅 Kubernetes 文档中的证书签名请求。

ExtendedResourceToleration 准入控制器已启用。此准入控制器会自动向请求扩展资源（例如 GPU）的 pods 添加污点容忍度。这样，您无需手动添加容忍度。有关更多信息，请参阅 Kubernetes 文档中的 ExtendedResourceToleration。

由树内 Kubernetes 服务控制器预置的 Elastic Load Balancers（CLB 和 NLB）支持筛选作为实例目标而纳入的节点。这有助于防止大型集群中达到目标组限制。有关更多信息，请参阅相关 GitHub 问题和 Kubernetes 文档中其他 ELB 注释下的 service.beta.kubernetes.io/aws-load-balancer-target-node-labels 注释。

Pod 拓扑分布已达到稳定状态。您可以使用拓扑分布约束来控制 pods 在集群内故障域（如区域、可用区、节点和其他用户定义的拓扑域）间的分布方式。这有助于实现高可用性以及高效的资源利用率。有关更多信息，请参阅 Kubernetes 文档中的容器组（pod）拓扑分布约束。

Ingress API 已达到正式发布版本。有关更多信息，请参阅 Kubernetes 文档中的入口。

预设情况下，EndpointSlices 为已启用状态。EndpointSlices 是一个新的 API，它为 Endpoints API 提供了更加可扩展和可扩充的替代方案，用于跟踪为服务提供支持的 Pod 的 IP 地址、端口、就绪性和拓扑信息。有关更多信息，请参阅 Kubernetes 博客中的使用 EndpointSlices 扩展 Kubernetes 联网。

Secret 和 ConfigMap 卷现在可以标记为不可改变。如果集群中存在许多 Secret 卷和 ConfigMap 卷，这将显著减少 API 服务器上的负载。有关更多信息，请参阅 Kubernetes 文档中的 ConfigMap 和密钥。