Kubernetes 1.11: 主な変更点 (Major Themes) Part.1 #kubernetes

はじめに

このエントリは、Kubernetes 1.11 の CHANGELOG からKubernetes 1.11: 主な変更点 (Major Themes) の一部についてまとめています。翻訳に合わせて補足を追記しています。その他の内容は次のリンク先を参照してください。

このリリースのSIG API Machineryは、主にCustomResourcesにフォーカスしています。

CustomResourcesのSubresourcesがbetaとなり、デフォルトで有効になりました。これにより/statusサブリソースで更新できるフィールドは.statusのみとなりました。
/statusサブリソースが有効な場合、CRD OpenAPIのバリデーションスキームのルートでrequiredとdescriptionが使用できるようになりました。
- CRDのValidationについて
複数バージョンのCRDを作成できるようになりましたが、自動的に変換はされません。
spec.additionalPrinterColumnsフィールドを使用して、CRDのkubectl getで出力される内容を追加できるようになりました。

このリリースではユーザーが理解しやすいセキュリティ機能を提供することにフォーカスしています。

RBACのcluster role aggregation がstableになりました。
client-goのcredential pluginsは外部プラグインからTLSクレデンシャルを取得するサポートが追加され、betaになりました。
監査イベントにAPIリクエストの処理方法に関する情報が追加され、内容の確認が簡単になりました。
- Authorizationでは、認可結果（"allow"か"forbid"）とその理由が、authorization.k8s.io/decisionとauthorization.k8s.io/reasonアノテーションに記録されるようになりました。
- PodSecurityPolicyアドミッションでは、ポリシー名がpodsecuritypolicy.admission.k8s.io/admit-policyとpodsecuritypolicy.admission.k8s.io/validate-policyアノテーションに記録されるようになりました。
PodSecurityPolicyにはhostPathのボリュームマウントを、読み取り専用にする機能が追加されました。
NodeRestrictionが有効な場合、kubeletはNodeオブジェクトのtaintを編集する権限を持たないようなったため、使用するべきノードが把握しやすくなりました。

SIG CLIではkubectlコマンドの可読性、テスタビリティを向上するためにリファクタリングを行いました。
このリファクタリングにより次のリリースで、kubectlプラグインの開発がより簡単になります。

新しいKubernetesの監視モデルに移行するための継続的な取り組みの一環として、Heapsterが非推奨になりました。
- Heapsterはv1.13で削除される予定です。
オートスケールのためにHeapsterを使用している場合、Metrics ServerとCustom Metrics APIに移行する必要があります。
詳細については、新たに廃止予定となった機能（New Deprecations）を参照してください。

Pod PriorityとPreemptionはbetaになり、デフォルトで有効になりました。オペレーターにとって大きな変更になるため注意が必要です。
- 詳細については、Before Upgradingを参照してください。
スケジューラーのパフォーマンスと信頼性の向上に取り組みました。

このリリースでは、Windows上で動作するPodとコンテナ用のKubernetes APIが多くサポートされました。
- Pod、コンテナ、ログファイルシステムのメトリクス
- runAsUserセキュリティコンテキスト
- Azure diskのLocal persistent volumesとfstype
Windows Serverバージョン1803の改善により、次のような新しいストレージ機能が追加されました。
- ConfigMapとSecretのボリュームマウント
- SMBおよびiSCSIストレージ用のFlexvolumeプラグインが、K8s Storage Plugins から利用可