开源Container调度平台Kubernetes释出了1.10版本,这个版本的重要更新包括支援标准化存储的Container存储介面(Container Storage Interface,CSI)、API聚合以及安全性的系列更新,而这也是CoreOS加入红帽(Red Hat)的第一个Kubernetes新版本。
Kubernetes增加新功能的步调,会在一开始加入Alpha版本,并在後续的Kubernetes更新中,依情况转为Beta版,最终成为稳定版加入Kubernetes的正式功能。Kubernetes开发团队特别提到,容器存储介面在Kubernetes 1.9时候加入,在1.10已经到了Beta版本,表示此功能进展快速。
Container存储介面能让使用者像安装Pod一样,轻松安装Volume插件,而这使得第三方存储供应商可以脱离Kubernetes的核心程式码限制,独立开发自家的解决方案。开发团队表示,此设计能维持Kubernetes生态系中的可扩展性。
同时,Durable(Non-shared)本地端存储管理在Kubernetes 1.10也成为Beta版,让非透过网络连结的本地端连接存储成为持久磁碟(Persistent Volume),提供使用者能以更高效能且低成本的方法,建立分散式档案系统与资料库。
持久磁碟在Kubernetes 1.10也有一些Beta更新,为确保存储API物件被以正确的顺序删除,现在Kubernetes能防止Pod使用中的持久磁碟宣告(Persistent Volume Claims)被删除,并防止被绑定在持久磁碟宣告的持久磁碟被删除。
而API聚合功能在Kubernetes 1.10成为稳定版,现在开发者可以自己定义API伺服器而不需要更改Kubernetes核心程式码。Kubernetes开发团队表示,这是一个强大的功能,开发人员拥有Kubernetes高度自订的能力,其所能提供的资源种类与Kubernetes核心有很大的不同,对於Kubernetes主要的扩充机制自订义资源(Custom Resource Definitions,CRDs)感到不够完备的使用者案例,API聚合可能是一个很好的解决办法。而稳定版也意味着,开发人员可以把这功能应用在产品阶段了。
Kubernetes 1.10也更新了Pod安全性政策。Kubernetes开发团队表示,Container为主机上的独立程序,开发者应停用不再执行的Container。而Kubernetes提供开发人员数种手段,以特殊权限存取主机,当这些手段被盗用将会成为攻击的媒介。而Pod安全政策目的在於,以名称空间限制Pod的执行种类,以减少攻击面。
在3月被揭露的CVE-2017-1002101安全漏洞,允许Container对档案系统存取任意得档案,也在Kubernetes 1.10获得修正。
