原标题:Kubernetes 1.6新版大变革,新增角色权限控管,丛集上限倍增达5千节点
先前Kubernetes在新版规画中,就预告了1.6版将新增角色存取控制机制(Role-Based Access,RBAC),引起众人高度期待这个可以让容器丛集管理更进一步的功能。果不其然,Google今日正式释出了Kubernetes 1.6版,如期推出了RBAC机制Beta版本,让丛集管理员可以针对特定使用者或服务帐号的角色,进行更精确的资源存取控制。除此之外,新版本可支援的丛集规模从2,000个节点,扩大至5,000个,可支援的Pod总数量也提高到15万个。
第一特色:扩大丛集规模,加强丛集联邦功能
在此版本中,Kubernets总共新增了5大特色。Kubernetes早在半年前就开始採用CoreOS的组态管理、服务探查工具etcd,这次改版更将Kubernetes底层架构预设改成etcd v3版本,因此可支援的丛集规模也扩大至5,000个节点,可支援的Pod规模也增加到15万个(Pod是由多个容器组合的一个容器包)。
Google表示,若需要规模超过5,000个丛集,或是服务靠跨多个资料中心或多云架构,新版本还加强了丛集联邦(Federation)功能,使用者得以组合不同区域的Kubernetes丛集,而系统会确保跨区的丛集的环境部署的一致性。
Kubernetes在1.5版中就推出的命令程式介面Kubefed仍处于Beta版,不过增加了更多本地端功能,例如开发者可以利用Kubefed指令,系统可自动完成丛集的DNS组态设定。
第二特色:靠角色存取控制机制加强安全
过去,Kubernetes是透过节点本地端的设定档来设定权限,使用ABAC(Attribute-Based Access Control)模式,例如可透过配置设定不同帐号所能存取的API权限。
但在新版中,则新增了角色存取控制机制,可以直接用API来取得不同帐号的权限管理政策,来控制使用者帐号或服务,可将系统资源指派给特定命名空间,让所属帐号来存取。
对于想要将Kubernetes升级至1.6版本的企业,在系统权限控管转换时,Google提出了两种解法。第一种作是让ABAC、RBAC机制并行使用。Google举例,系统会先透过RBAC authorizer处理API请求。如果RBAC authorizer并未核准,接着ABAC authorizer则会接手。
第三特色:强化使用者对Pod的控制
新版本中,Kubernetes也加强使用者对Pod的控制程度,像是指定每个Pod一个节点标籤(Node Label),藉此限制Pod只能在特定节点、丛集中运行,目前此功能也处于Beta阶段。
而节点标籤所能完成的设定不仅只是如此,开发者也能自己调整,指定特定的主机名称、硬体架构、作业系统版本等参数。
除了限制Pod在特定节点上运作,开发者也可以将Pod排除于特定节点上运作。Google举例,企业可藉此限制使用者只能存取部分节点,或是利用节点标籤,让Pod在特殊规格的硬体上运作。
第四特色:储存动态分配
1.6版现在内建了常用云端储存服务物件,包括?AWS、Azure、GCP、OpenStack和VMware vSphere的储存空间,都不需要在手动配置就能使用。这也意味着,当有物件删除释出储存空间时,就可以用程式自动闲置的外部储存资源指派给新的Pod,来实现动态储存分配的效果。
另外,Google表示,现在Kubernetes中的持久磁碟(Persistent Volume)子系统也提供两组API资源,让使用者、系统管理员了解储存资源的使用现况。这两组API分别是PVC(PersistentVolumeClaim)以及PV(PersistentVolume)物件,让储存可以摆脱各异质环境所制定的相异规则,使Pod可以横跨不同的云端、本地端环境运作。此外,Google表示,结合StorageClass物件及动态建置磁碟(Dynamic Volume Provisioning)功能,企业不需要先前準备建置作业,就可随需建立、删除储存物件。
在新版本中,StorageClass也预设支援AWS、Azure、GCP、OpenStack以及VMware vSphere等环境,「使用者不需手动设置StorageClass物件。」Google表示。
第五特色:更新容器Runtime介面及背景常驻程式
「虽然使用者不见得会直接和容器Runtime、API Server直接互动,但它们是组成Kubernetes的基础元件。」Google表示,在1.6版中负责检查节点组态是否正确的Kubelet,现在已经支援Docker容器Runtime介面(Container Runtime Interface,CRI),不过此功能目前还处于Beta版。
此外,Kubernetes现阶段也有支援其他的容器Runtime,像是符合开放容器实作标準的Cri-O、以Hypervisor为基础的Frakit,以及CoreOS的rkt。
相关:
英国推“最安全的硬币”,货币的仿制让政府最头痛,各国几乎年年都会冒出几起假币案,而且有时还会数额巨大。当地时间2017年3月28日,英国开始流通新12边形1英镑硬币,据英国方面宣称这是最安全的硬币,甚至杜绝了仿
瑞士再保(Swiss Re)今天(28日)表示,去年发生的灾难性地震、洪水、大型冰雹与野火及人为灾难,造成全球高达1,750亿美元的灾害损失,这个数字与2015年的940亿美元灾害损失相比,几乎多出1倍。瑞士再保表示,去年1,75
拥有英格兰、苏格兰、威尔斯、北爱尔兰各自象征物的新版1英镑硬币,今天赶在英国启动脱欧程序前夕上市流通。这枚12边形的新硬币号称是最安全、最难伪造的硬币。法新社报道,新的12边形1英镑硬币是1983年发行1镑面额
瞄准即时串流分析及资料库上云端需求,甲骨文资料库12.2新版来了
12.2版新增的可插拔资料库迁移功能,可以将资料库内包含中介资料的数据,完整进行搬迁、汇出。透过迁移插拔资料库的功能,企业可以比较容易将内部资料中心的资料库,完整迁移至云端环境,或是建立暂时环境进行压力测
水情吃紧,台水向北水请求调度,今天上午召开协商会议,经济部次长杨伟甫表示,协商结果令人满意。支援水价订为38万吨以上每度3.5元,38万吨以下每度5.9元,4月正式上路。新的水价方案以后是否会每年检讨一次?水利