Kubernetes釋出今年第3個版本1.12,這個版本繼續專注內部功能改進,並讓測試功能進入穩定階段。Kubernetes 1.12重點更新了安全性以及Azure相關功能,現在Kubelet TLS Bootstrap進入穩定版,並支援Azure虛擬機器規模集(Azure Virtual Machine Scale Sets,VMSS)。

Kubernetes 1.12其中的一大更新重點便是Kubelet TLS Bootstrap達正式版本,官方提到,在Kubernetes 1.4中引入了一個向叢集等級憑證頒發機構請求憑證的API,此API原本的目的是要為Kubelet提供TLS客戶端憑證,允許Kubelet自動啟動加入TLS保護的叢集中。

而Kubelet TLS Bootstrap可以讓Kubelet自動建立安全憑證,而不需要像以前一樣手動設定,減少憑證設定的繁瑣工作。官方提到,之前在Kubelet第一次執行的時候,必須要在叢集啟動期間,以帶外(Out-of-band)程序為其提供客戶端憑證。這項工作落在服務營運者身上,由於這項工作手動太繁瑣,要使其成為自動化又太複雜,因此許多服務營運者乾脆為所有Kubelet部署單一憑證或是單一身份,但這樣的設定卻阻擋部署節點鎖定功能,像是節點授權器(Node Authorizer)或是NodeRestriction准許控制器(NodeRestriction Admission Controller)。

為了解決這個問題,SIG Auth替Kubelet加入了生成私鑰和CSR的方法,以便提交為叢集等級憑證簽署程序,官方提到,Kubelet TLS Bootstrap v1正式版的意思,表示已經為產品階段測試,並且準備好可以正式投入生產使用,保證長期以及向後相容支援。

另外,Kubelet伺服器憑證啟動以及輪轉功能進入Beta測試階段,現在Kubelet首次啟動時,會生成一個自簽章的憑證對(Certificate Pair),來接收TLS連結,這個的功能採用了一個本機端生成金鑰的程序,並向叢集API伺服器發出憑證簽章請求,以獲得由叢集根憑證授權的憑證簽章。當憑證快要過期的時候,也會使用相同的方法發出憑證更新請求。

在Azure相關功能更新,Azure虛擬機器規模集(VMSS)還有叢集自動擴展器(Cluster-Autoscaler)也都已經進入穩定階段。Azure虛擬機器規模集可以讓使用者根據需求或是調度,自動增加或是減少同質虛擬機器池,提供輕鬆管理、擴展和負載平衡多個虛擬機器,進而提供高可用與應用程式彈性,適合以Kubernetes工作負載執行的大型應用程式。

藉由這個功能,Kubernetes支援使用Azure虛擬機器規模集擴展容器化應用程式,而這包括與叢集自動擴展器整合,根據相同條件來自動調整Kubernetes叢集大小。

熱門新聞

Advertisement