Amazon EKS Kubernetes 版本

• 1.21.5

• 1.20.7

• 1.19.15

• 1.18.16

重要提示

• Pod、服务和节点上双堆栈联网支持（IPv4 和 IPv6 地址）已达到测试状态。但是，Amazon EKS 和 Amazon VPC CNI 目前不支持双堆栈联网。

• Amazon EKS 优化版 Amazon Linux 2 AMI 现在包含一个引导启动标志，以启用 containerd 运行时间作为 Docker 替代方案。此标志允许为在下一个 Kubernetes 版本中移除作为受支持的运行时间的 Docker 做准备。有关更多信息，请参阅 启用 containerd 运行时间引导标记。这可以通过 Github 上的容器路线图进行跟踪。

• 托管节点组支持 Cluster Autoscaler 优先级扩展器。

  Amazon EKS v1.21 集群上新创建的托管节点组对基础 Auto Scaling 组名称使用以下格式：

  eks-<managed-node-group-name>-<uuid>

  这样就可以根据用户定义的优先级使用 Cluster Autoscaler 的优先级扩展器功能。一个常见的使用案例是，将 Spot 节点组而不是按需节点组作为扩缩首选。此行为更改解决了 #1304 容器路线图问题。

• CronJobs（前称为 ScheduledJobs）现已升级到稳定状态。此项更改后，用户定期执行计划的操作，例如备份和报告生成。

• 不可改变的密钥和 ConfigMaps 现已升级到稳定状态。已向这些对象添加了一个不可改变的新字段以拒绝更改。此拒绝可保护集群免受会意外中断应用程序的更新。由于这些资源是不可改变的，因此 kubelet 不会关注或者轮询更改。这将减少 kube-apiserver 负载并提高可扩展性和性能。

• 正常节点关机功能现已升级到测试版状态。此更新允许 kubelet 知道节点关闭，并能够正常终止该节点的 Pod。在此更新之前，当节点关闭时，它的容器组没有遵循预期的终止生命周期。这导致了工作负载问题。现在，kubelet 可以通过 systemd 检测即将发生的系统关闭，并通知正在运行的 Pod，以便它们正常终止。

• 具有多个容器的 Pod 现在可以使用 kubectl.kubernetes.io/default-container 注释为 kubectl 命令预先选择容器。

• PodSecurityPolicy 正在逐步停用。根据 Kubernetes 弃用指南，PodSecurityPolicy 将可用于多个 Kubernetes 版本。要了解详情，请参阅 PodSecurityPolicy 弃用：过去、现在和将来和 Amazon 博客。

重要提示

• 1.20 版本带来了新的原定设置角色和用户。您可以在原定设置 EKS Kubernetes 角色和用户中了解更多信息。请确保您使用的是支持的 cert-manager 版本。

• API 优先级和公平性功能已达到测试状态，并且在预设情况下是处于已启用状态。此功能允许 kube-apiserver 按优先级对传入请求进行分类。

• RuntimeClass 功能已达到稳定状态。RuntimeClass 资源提供了一种用于支持集群中多个运行时间的机制，并将有关该容器运行时的信息显示到控制层面。

• 进程 ID 限制功能现已升级到正式发布版本。

• kubectl debug 已达到测试版状态。kubectl debug 提供了对直接来自于 kubectl 的常见调试工作流的支持。

• Docker 容器运行时间已逐步停止。Kubernetes 社群已经就这一点撰写了一篇详细的博客文章并提供了专门的常见问题页面。Docker 生成的镜像可以继续使用，并且会一如既往地发挥功能。您可以安全地忽略 kubelet 启动日志中打印的 Dockershim 弃用警告消息。EKS 最终将迁移到 containerd，后者将作为 EKS 优化版 Amazon Linux 2 AMI 的运行时间。您可以参阅容器路线图问题，了解更多详细信息。

• Pod Hostname as FQDN 功能已升级到测试状态。此功能允许将 Pod 的主机名设置为其完全限定域名 (FQDN)，从而能够将内核的主机名字段设置为 Pod 的 FQDN。

• client-go 凭证插件现在可以通过 KUBERNETES_EXEC_INFO 环境变量在当前集群信息中传递。此增强功能允许 Go 客户端使用外部凭证提供商（如 Key Management Systems (KMS)）进行身份验证。

重要提示

• 从 1.19 版本开始，Amazon EKS 不再向在集群创建时传入的子网添加 kubernetes.io/cluster/<cluster-name> 标签。仅当您想影响 Kubernetes 服务控制器或Amazon负载均衡器控制器放置 Elastic Load Balancer 的位置时，才需要此子网标签。有关在集群创建过程中传递给 Amazon EKS 的子网的要求的更多信息，请参阅 集群 VPC 和子网注意事项。

  • 在更新为 1.19 版本的现有集群上，子网标签未修改。

  • Amazon负载均衡器控制器版本 v2.1.1 及更早版本需要 <cluster-name> 子网标签。在版本 v2.1.2 和更高版本中，您可以指定标签以优化子网发现，但这不是必需操作。有关Amazon负载均衡器控制器的更多信息，请参阅 安装 Amazon Load Balancer Controller 附加组件。有关使用负载均衡器时子网标签的更多信息，请参阅 Amazon EKS 上的应用程序负载均衡 和 Amazon EKS 上的网络负载均衡。

• 您不再需要为需要访问 Web 身份令牌文件以便与服务账户的 IAM 角色一起使用的无根容器提供安全上下文。有关更多信息，请参阅 GitHub 上的 服务账户的 IAM 角色 和预计服务账户卷中的文件权限处理建议。

• Pod 身份 Webhook 已更新，以解决缺少启动探测器的 GitHub 问题。Webhook 现在还支持控制令牌过期的注释。有关更多信息，请参阅 GitHub 拉取请求。

• CoreDNS 1.8.0 版是推荐用于 Amazon EKS 1.19 集群的版本。预设情况下，此版本已安装在新的 Amazon EKS 1.19 集群中。有关更多信息，请参阅 管理 CoreDNS 附加组件。

• Amazon EKS 优化版 Amazon Linux 2 AMI 包括适用于 Kubernetes 1.19 的 Linux 5.4 内核版本。有关更多信息，请参阅 Amazon EKS 优化版 Amazon Linux AMI。

• CertificateSigningRequest API 已被提升为稳定 certificates.k8s.io/v1 并附带以下更改：

  • spec.signerName现在需要使用 。您无法为具有 certificates.k8s.io/v1 API 的 kubernetes.io/legacy-unknown 创建请求。

  • 您可以继续使用 certificates.k8s.io/v1beta1 API 创建具有 kubernetes.io/legacy-unknown 签名者名称的 CSR。

  • 您可以继续请求，为非节点服务器证书 webhook（例如 certificates.k8s.io/v1beta1 API）签署 CSR。这些 CSR 不是自动批准的。

  • 要批准证书，特权用户需要 kubectl 1.18.8 或更高版本。

  有关证书 v1 API 的更多详细信息，请参阅 Kubernetes 文档中的证书签名请求。

• ExtendedResourceToleration 准入控制器已启用。此准入控制器会自动向请求扩展资源（例如 GPU）的 Pod 添加污点容忍度，因此您无需手动添加容忍度。有关更多信息，请参阅 Kubernetes 文档中的 ExtendedResourceToleration。

• 由树内 Kubernetes 服务控制器预置的 Elastic Load Balancers（CLB 和 NLB）支持筛选作为实例目标而纳入的节点。这有助于防止大型集群中达到目标组限制。有关更多信息，请参阅相关 GitHub 问题和 Kubernetes 文档中其他 ELB 注释下的 service.beta.kubernetes.io/aws-load-balancer-target-node-labels 注释。

• Pod 拓扑分布已达到稳定状态。您可以使用拓扑分布约束来控制 Pod 在集群内故障域（如区域、可用区、节点和其他用户定义的拓扑域）间的分布方式。这有助于实现高可用性以及高效的资源利用率。有关更多信息，请参阅 Kubernetes 文档中的 Pod 拓扑分布约束。

• Ingress API 已达到正式发布版本。有关更多信息，请参阅 Kubernetes 文档中的 Ingress。

• 预设情况下，EndpointSlices 为已启用状态。EndpointSlices 是一个新的 API，它为 Endpoints API 提供了更加可扩展和可扩充的替代方案，用于跟踪为服务提供支持的 Pod 的 IP 地址、端口、就绪性和拓扑信息。有关更多信息，请参阅 Kubernetes 博客中的使用 EndpointSlices 扩展 Kubernetes 联网。

• Secret 和 ConfigMap 卷现在可以标记为不可改变。如果集群中存在许多 Secret 卷和 ConfigMap 卷，这将显著减少 API 服务器上的负载。有关更多信息，请参阅 Kubernetes 文档中的 ConfigMap 和密钥。

• 拓扑管理器现已达到测试版本状态。此功能允许 CPU 和设备管理器协调资源分配决策，通过机器学习和分析工作负载优化低延迟。有关更多信息，请参阅 Kubernetes 文档中的控制节点上的拓扑管理策略。

• 服务器端应用功能将更新为新的测试版。此功能可以跟踪和管理对所有新 Kubernetes 对象字段的更改，以便您知道是什么更改了您的资源以及更改时间。有关更多信息，请参阅 Kubernetes 文档中的“什么是服务器端应用？”。

• 入口规范中添加了一个新的 pathType 字段和新的 IngressClass 资源。这些功能使自定义入口配置变得更加简单，并且受Amazon负载均衡器控制器（以前称为 ALB 入口控制器）支持。有关更多信息，请参阅 Kubernetes 文档中 Kubernetes 1.18 中的入口 API 的改进。

• 可配置的水平 Pod 弹性伸缩行为。有关更多信息，请参阅 Kubernetes 文档中的可配置的扩展行为支持。

• 在 1.18 版集群中，在对中国区域的服务账户使用 IAM 角色时，无论是使用变异 Webhook 还是手动配置环境变量，您都不再需要将 AWS_DEFAULT_REGION=<region-code> 环境变量纳入到 Pod 中。在早期版本中，您仍然需要纳入所有 Pod 的变量。

• 新集群包含 externalTrafficPolicy 中更新的默认值。HealthyThresholdCount 和 UnhealthyThresholdCount 每个都为 2，而且 HealthCheckIntervalSeconds 减少到 10 秒。在旧版本中创建并升级的集群将保留旧的值。

• Cloud Provider Labels 功能已达到正式发布版本。如果要将 Pod 规范中的测试版标签用于节点亲和性等功能，或者在任何自定义控制器中使用，我们建议您开始将它们迁移到新的全面开放标签。有关新标签的信息，请参阅以下 Kubernetes 文档：

  • node.kubernetes.io/instance-type

  • topology.kubernetes.io/region

  • topology.kubernetes.io/zone

• ResourceQuotaScopeSelectors 功能已升级为正式发布版本。您可以使用此功能将配额支持的资源数量限制在仅限适用于范围的数量。

• TaintNodesByCondition 功能已升级为正式发布版本。此功能允许您污染具有较高磁盘或内存压力等条件的节点。

• CSI Topology 功能已升级到正式发布版本，并完全受 EBS CSI 驱动程序支持。您可以使用拓扑来限制预置卷的可用区。

• 面向 LoadBalancer 类型服务的终结器保护功能已升级到正式发布版本。此功能可确保在删除关联的负载均衡器之前，不会完全删除服务资源。

• 自定义资源现在支持原定设置值。您可以在 OpenAPI v3 验证架构中指定值。

• Windows 容器 RunAsUsername 功能现在处于测试阶段。您可以使用它以不同于默认用户名的方式在容器中运行 Windows 应用程序。