Kubespray v2.27.0 版本发布与技术解析

Kubernetes集群部署工具Kubespray近日发布了v2.27.0版本，该版本带来了多项重要更新和功能改进。作为Kubernetes社区广泛使用的部署方案，Kubespray的这次更新在容器运行时、Kubernetes支持、网络插件等多个关键领域都有显著提升。

核心组件升级

本次版本更新中，多个基础组件获得了版本提升：

1. 容器运行时：Containerd升级至1.7.24版本，Runc同步更新至v1.2.3。这两个组件的升级为容器运行环境带来了更好的稳定性和安全性。

2. Kubernetes支持：默认Kubernetes版本提升至v1.31.4，同时支持1.30.8和1.29.12等多个版本。值得注意的是，v1.28.x系列已不再支持，最低版本要求提升至1.29.x。

3. Helm工具：Helm版本升级至v3.16.4，为Kubernetes应用包管理提供了最新功能支持。

重要变更与注意事项

v2.27.0版本包含多个需要管理员特别注意的变更点：

1. kubeadm补丁格式变更：现在需要使用内联补丁数组而非补丁文件，这一变化简化了配置管理。

2. 认证令牌生成：移除了为集群中每个节点生成静态令牌的功能，提高了安全性。

3. kubelet配置简化：废弃了节点特定的kubelet配置参数，统一使用全局配置。

4. 集群组定义：k8s_cluster组现在自动定义，无需在inventory中手动配置。

5. 预检错误处理：引入了kubeadm_ignore_preflight_errors参数，允许管理员指定要忽略的预检检查项。

新功能与改进

1. CRI-O运行时增强：

   • 默认运行时从runc改为crun
   • 增加了运行时选择灵活性
   • 支持配置CRI-O根目录

2. 网络功能扩展：

   • Calico支持节点级BGP对等体配置
   • Cilium增加了BGP控制平面、IP负载均衡池等高级功能
   • Multus支持网络隔离配置

3. 云提供商集成：

   • 新增Oracle云基础设施控制器支持
   • OpenStack云控制器升级至v1.31.1
   • 移除了对内置云提供商的支持

4. 系统管理优化：

   • 支持使用ntpsec进行时间同步
   • 增加了资源配额准入控制器配置
   • 节点本地DNS支持额外配置

兼容性与系统支持

1. 操作系统支持：

   • 新增对Fedora 39/40的支持
   • 移除了对Fedora 37/38的支持
   • 增加了对openEuler 24.03的CI测试

2. 架构调整：

   • 清理了过时的术语，将"master"替换为"control plane"
   • 优化了CA证书哈希计算方式
   • 改进了大集群的扩展性能

问题修复与稳定性提升

1. 集群操作可靠性：

   • 修复了使用--limit参数时的缓存数据检查问题
   • 解决了HA etcd集群在升级期间保持仲裁的问题
   • 修正了kubeadm镜像下载问题

2. 组件特定修复：

   • 修复了Calico双栈安装问题
   • 解决了Cilium代理权限问题
   • 修正了VSphere CSI/CPI驱动程序的镜像仓库问题

3. 配置处理改进：

   • 修复了准入插件配置使用问题
   • 改进了DNS配置的格式化输出
   • 修正了网络管理器在重置操作中的行为

总结

Kubespray v2.27.0是一个功能丰富且稳定的版本，为Kubernetes集群部署和管理带来了多项改进。管理员在升级时需要注意几个重大变更点，特别是kubeadm配置格式和认证机制的调整。新版本在安全性、兼容性和功能扩展方面都有显著提升，是生产环境部署的可靠选择。

对于计划升级的用户，建议仔细阅读完整的变更日志，并在测试环境中验证配置变更，确保平滑过渡到新版本。