Kubernetes アップデート、33 の新機能、12 の安定バージョン

Kubernetes の最新バージョンのリリースには若干の遅れがありましたが、Kubernetes の実稼働準備を強化するためのいくつかのアップデートを含んだ新しい Kubernetes 1.19 バージョンが正式にリリースされました。新しい改善点には、Ingress および seccomp 機能の一般提供、TLS 1.3 のサポートなどのセキュリティの改善などが含まれます。そして、Kubernetes バージョン 1.19 からは、サポート期間が正式に 1 年に延長されます。 Kubernetes 1.19 の変更点を見てみましょう。

Ingress と seccomp が一般提供開始

Ingress は、Kubernetes 1.1 ベータ版で API として初めて導入されました。この機能により、ユーザーはクラスター内のサービスへの外部アクセスを制御し、HTTP および HTTPS ルートを公開できます。また、負荷分散の管理、SSL/TLS の終了、名前ベースの仮想ホスティング機能の提供にも役立ちます。 Ingress リソースを機能させるには、Ingress コントローラーを使用する必要があります。 Kubernetes は現在、GCE および nginx コントローラーをサポートおよび保守しています。

バージョン 1.19 では、Ingress が一般提供にアップグレードされ、ネットワーク v1 API に追加されました。このアップデートでは、スキーマや検証の変更など、v1 Ingress オブジェクトにいくつかの重要な変更が加えられます。

seccomp (セキュア コンピューティング モード) が一般提供にアップグレードされました。 seccomp は、アプリケーションが実行できるシステム コールの数を制限する Linux カーネルのセキュリティ ツールです。これは当初、Kubernetes バージョン 1.3 で機能として導入されましたが、いくつかの制限がありました。以前は、ポッドに seccomp プロファイルを適用するには、PodSecurityPolicy にアノテーションを追加する必要がありました。

このリリースでは、seccomp はポッドとコンテナの securityContext オブジェクトに追加される新しい seccompProfile フィールドを導入します。 Kubeletの下位互換性を確保するために、seccompプロファイルは特定のコンテナフィールド、

コンテナ固有のアノテーション、ポッド全体のフィールド、ポッド全体のアノテーション。

このアップデートにより、ポッドサンドボックスコンテナも別のランタイム/デフォルトのseccompプロファイルで設定されるようになりました。

TLS 1.3 のサポート

Kubernetes 1.19 バージョンでは、オーケストレーションで使用できる新しい TLS 1.3 暗号のサポートが追加されました。

ノードデバッグの紹介

Kubernetes 1.19 では kubectl alpha debug コマンドが導入され、現在はアルファ版で利用できます。このコマンドは、ホスト OS 名前空間に新しいポッドを作成して実行し、ノード障害のトラブルシューティングを行います。ユーザーは、実行中のポッドを再起動せずに検査できるようになりました。さらに、ユーザーは、システムを検査したり、ユーティリティのデバッグやポッド ネットワーク名前空間からの初期ネットワーク要求などの操作を初期化したりするために、コンテナー自体に入る必要がなくなりました。この機能強化により、ノードのメンテナンスとデバッグに SSH が不要になります。

構造化ログ

バージョン 1.19 より前では、Kubernetes コントロール プレーンのログ機能では、ログ メッセージとログ内の Kubernetes オブジェクトへの参照が均一な構造を維持していることを保証できませんでした。これにより、ログ レコードの解析、処理、保存、クエリ、分析が非常に困難になり、ほとんどの場合、管理者と開発者は正規表現を自分で記述して一時的に問題を解決せざるを得なくなります。まさにこのような状況のせいで、Kubernetes 上のさまざまなログベースの分析ソリューションの実装と保守が困難になっています。

機能強化は上記の変更点よりもはるかに多くあります。新しいバージョンには 33 の機能強化が含まれており、そのうち 12 は安定版に、18 はベータ段階、さらに 13 はアルファ段階にあります。重要な安定バージョンの変更には、Seccomp、Kubelet クライアント TLS 証明書のローテーション、API へのノード アクセスの制限、Ingress の V1 安定バージョンへのアップグレード、Docker なしでの Kubelet の構築などがあります。