Kubespray v2.28.0版本深度解析：Kubernetes集群部署的重大更新

Kubespray作为一款广受欢迎的Kubernetes集群部署工具，其最新发布的v2.28.0版本带来了多项重要更新和功能改进。本文将全面剖析这一版本的关键变化，帮助运维人员和开发者更好地理解和使用这个工具。

Kubespray项目简介

Kubespray是一个基于Ansible的Kubernetes集群部署解决方案，它通过自动化方式简化了Kubernetes集群的安装、配置和管理过程。该项目支持多种基础设施环境，包括裸金属服务器、云平台和虚拟化环境，并提供了丰富的配置选项来满足不同场景的需求。

版本核心变更

1. Kubernetes版本支持升级

v2.28.0版本将默认Kubernetes版本升级至1.32.5，同时移除了对RHEL 8的支持。这一变化反映了Kubernetes生态系统的持续演进，也提醒用户需要及时更新基础操作系统以保持兼容性。

2. 容器运行时更新

• 默认Docker版本升级至28.0
• Containerd更新至2.0.5版本
• 新增对Containerd 2.0.x系列的支持
• 默认启用NRI（Node Resource Interface）功能

这些更新确保了集群能够利用最新的容器运行时特性，同时提高了安全性和性能。

3. 网络插件增强

Cilium CNI 进行了重大改进：

• 安装过程改用Cilium CLI工具
• 默认身份分配模式改为CRD
• 新增Hubble高级流日志配置选项
• 改进了IPSec节点加密配置

Calico 更新至v3.29.3版本，修复了kube-controller的tiers资源列表权限问题，并移除了calico-node pod的CPU限制默认值。

4. 控制平面优化

• 控制平面内存需求提升至2GB
• 新增对kubeadm-config v1beta4升级配置的支持
• 改进了控制平面节点升级流程
• 默认etcd快照数设置为10000

这些改进显著提升了控制平面的稳定性和管理效率。

关键功能改进

1. 双栈网络重构

移除了enable_dual_stack_networks参数，转而采用分离的IPv4和IPv6网络栈配置方式，使网络配置更加清晰和灵活。

2. 离线安装增强

新增了upload2artifactory.py脚本，专门用于离线环境下的镜像上传，极大简化了离线部署的复杂度。

3. 云提供商集成

外部云提供商现在支持"manual"选项，允许用户自行安装云控制器管理器，提供了更大的灵活性。

4. 安全增强

• 默认CRI-O能力集移除了NET_RAW和SYS_CHROOT
• Ingress-Nginx升级至v1.12.1修复了多个关键问题
• 文件下载URL默认被限制，除非显式设置unsafe_show_logs变量

使用建议

1. 升级注意事项：

   • 移除所有组件版本号前的'v'前缀
   • 检查并更新RHEL 8主机操作系统
   • 重新评估网络插件配置，特别是使用Cilium的用户

2. 新功能试用：

   • 尝试使用Cilium CLI进行安装
   • 测试双栈网络的新配置方式
   • 评估NRI功能对资源管理的影响

3. 性能调优：

   • 根据工作负载特点调整etcd快照数
   • 监控控制平面节点的内存使用情况
   • 优化Hubble流日志配置以减少性能开销

总结

Kubespray v2.28.0版本通过多项重要更新，进一步提升了Kubernetes集群部署的可靠性、安全性和灵活性。从容器运行时升级到网络插件优化，从控制平面改进到安全增强，这一版本为用户提供了更加强大的工具集。建议用户仔细阅读变更说明，特别是那些标记为"Action required"的内容，以确保平滑升级和最佳实践的应用。

随着Kubernetes生态系统的不断发展，Kubespray作为部署工具也在持续演进，v2.28.0版本再次证明了其在生产环境中的价值和可靠性。