本周作者 | 衷源、心貴

業界要聞

1、Kubernetes Release v1.15 版本發布，新版本的兩個主題是持續性改進和可擴展性。（https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.15.md#kubernetes-v115-release-notes）
2、Helm 這款包管理工具, 作為業界 Kubernetes 上應用分發的事實標準，其 v3.0.0-alpha.1 正式發布，這是 Helm 3 的第一個 Alpha 版本。（https://github.com/helm/helm/releases/tag/v3.0.0-alpha.1）
3、Google 的 Dropout 專利生效，有效期 15 年。Dropout 是深度學習的一種基礎算法，對人工智能行業影響巨大。
4、Rancher 2.3 Preview 發布，通過一個簡單以及友好的界面，用戶即可使用 istio。(https://github.com/rancher/rancher/releases/tag/v2.3.0-alpha5)
5、Talos 發布。Talos 是一款專門用于部署Kubernetes的操作系統。相對于 CoreOS，RancherOS 或者 LinuxKit 這些容器操作系統，Talos 更為精簡。(https://github.com/talos-systems/talos)
6、 Google 推出深度學習容器，包括 TensorFlow 1.13，TensorFlow 2.0，PyTorch 和 R 語言容器。

上游重要進展

Kubernetes v1.15 版本發布

Kubernetes Release v1.15 版本，新版本的兩個主題是持續性改進和可擴展性。其中持續性改進著重于提高核心組件的可靠性和穩定性，同時修復一些遺留的問題；而可擴展性關注著重關注在 CRD 和 Webhook 的改進和優化上。我們就這兩個主題講述一些值得關注的特性和改進。v1.15 版本的發布意味著不僅我們可以更加便捷的管理集群和擴展集群，同時新版本的集群的穩定性更加堅固。

• 可靠性和穩定性
• 新引入 WatchBookmark 特性。該特性能大大提高 Kube-Apiserver 的 List/Watch 性能，大家都知道，大規模集群下各個組件的 List/Watch 會消耗 Kube-Apiserver 巨大的性能開銷，有了該特性，我們可以展望未來的集群規模又可以上升一個臺階。 (#74074, @wojtek-t)
• Admission 默認開啟 StorageObjectInUseProtection。StorageObjectInUseProtection 能保護正在使用的 PV/PVC 被誤刪除。這對手速太快的開發和 SRE 同學是一個很大的福音。(#74610, @oomichi)
• 螞蟻金服在大規模實踐中，發現 Daemonset 有各種發布和部署 Pod 被卡住的問題，螞蟻同學對 Daemonset Controller 可能發生的一系列死鎖問題做了修復。

參考：
https://github.com/kubernetes/kubernetes/pull/78974
https://github.com/kubernetes/kubernetes/pull/77773
https://github.com/kubernetes/kubernetes/pull/77208
https://github.com/kubernetes/kubernetes/pull/78170

• CRD 可擴展性和實用性增強

• 增加 CustomResourcePublishOpenAPI 特性，新版本會使用 OpenAPI v3 schemas 做 CRD 實例的校驗，同時我們可以做 CRD 的Prune 和 默認值設置等，同時后續我們可能依賴 OpenAPI 做 CRD 的 Protobuf 支持。(#77825, @roycaihw)
• 新的 Prune 特性會默認移除 CRD 實例未知的字段，同時也不會將未知字段持久化，這會大大減少 CRD 實例未知字段帶來的干擾以及降低 CRD 的存儲開銷同時提高性能。
• 支持使用 OpenAPI 校驗來設置 CRD 實例的默認值。通過這種更加輕量級的方式，開發者不必費勁腦力和時間去再寫一個 Webhook 監聽 CRD 實例的創建去設置默認值了。(#77558, @sttts)
• 增加 CRD Conversion Webhook 支持多版本 CRD 實例之間的轉換。之前我們的 CRD 版本升級(比如從 v1alpha1 升級到 v1betav1) 是個頭疼的問題，使用這個功能我們的版本轉化能完美解決(KEP)。

• Webhook 增強

• Admission Webhook 的配置增加了 ObjectSelector。從之前的只能根據 NamespaceSelector 和指定資源進行過濾，到新版本的 Webhook 能對特定的 Label 的資源實例過濾，從而大大提高了 Webhook 的執行效率。
• Webhook 的配置允許一個 Webhook 的調用指向一個非 443 端口的服務。Webhook 包括 Admission webhook, AuditSink webhook, CRD Conversion webhook（還包括 kube-aggregator Service 的配置）。
• Admission Webhook的配置允許一個 Webhook 只注冊和監聽一個版本的資源，比如我們可以只注冊 apps/v1 deployments 而不關心其它的 deployment 版本的資源，這樣我們的 Webhook Server 不用隨著 API 定義的升級去強行升級。

Kube-Apiserver 性能深入研究

大規模場景下一定要 Port 的幾個特性：

優化 Watch event 的 dispatch https://github.com/kubernetes/kubernetes/issues/73958

NodeLease 功能: https://github.com/kubernetes/kubernetes/tree/master/pkg/kubelet/nodelease

client-go 會把 List/Watch 超時設置為 [5min， 10min)，即在超時時間后會重新發起 List/Watch，建議 Daemenset 調整這個時間到幾十分鐘甚至數小時級別，不然 Apiserver 可能會因為大量訪問崩潰。同時，也在考慮 kubelet 是否也要修改這個值，代碼的注釋里寫著 5min 是為了平衡負載均衡以及接觸負載均衡設備 watch 的hang住 bug。

client-go RateLimiter 加入 Wait 方法，避免在異步場景下使用 client-go 引起 goruntine 積壓：https://github.com/kubernetes/kubernetes/pull/79375

Webhook 和 Adimission 支持 context-aware： https://github.com/kubernetes/kubernetes/pull/79376

Kube-Apiserver 到達 IO 瓶頸時，metric 錯誤的將 IO 瓶頸錯誤歸類到 504。我們需要將邏輯處理超時和寫 IO 超時分開：https://github.com/kubernetes/kubernetes/pull/79609

開源項目推薦

Tektoncd: 云原生時代的 Pipeline， https://github.com/tektoncd/pipeline

Volcano: Kubernetes 原生的 Job 批量調度擴展 https://github.com/volcano-sh/volcano

本周閱讀推薦

《Cloud 2.0：代碼不再為王，Serverless 當道！》

這一篇不錯的務虛文檔，可以從技術演進的視角去思考云時代的技術演進。

文章鏈接：
https://mp.weixin.qq.com/s/QzudayLEHg0TrJtJ30f9Vg

《微服務架構之「 監控系統 」》

這篇文檔詳細且完整的描述了微服務架構下的監控系統。用戶可以根據此文檔對微服務的解決方案進行入門級的了解。

文章鏈接：
https://mp.weixin.qq.com/s/xH1LX6iOJqKC5Y5IRsAhpQ

《云原生應用 Kubernetes 監控與彈性實踐》

云原生應用的設計理念已經被越來越多的開發者接受與認可，而 Kubernetes 做為云原生的標準接口實現，已經成為了整個 stack 的中心，云服務的能力可以通過 Cloud Provider、CRD Controller、Operator 等等的方式從 Kubernetes 的標準接口向業務層透出。本文向大家介紹一個云原生應用該如何在 Kubernetes 中無縫集成監控和彈性能力。

文章鏈接：https://yq.aliyun.com/articles/704346

總結

以上是生活随笔為你收集整理的云原生生态周报 Vol.9| K8s v1.15 版本发布的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。