Компоненти інструментів

• 1: Функціональні можливості
• 2: Функціональні можливості (вилучені)
• 3: kubelet
• 4: kube-apiserver
• 5: kube-controller-manager
• 6: kube-proxy
• 7: kube-scheduler

1 - Функціональні можливості

Ця сторінка містить огляд різних функціональних можливостей, які адміністратор може вказати для різних компонентів Kubernetes.

Дивіться функціональні стадії для пояснення стадій функції.

Огляд

Функціональні можливості — це набір пар ключ=значення, які описують функції Kubernetes. Ви можете увімкнути або вимкнути ці функції, використовуючи прапорець командного рядка --feature-gates на кожному компоненті Kubernetes.

Кожен компонент Kubernetes дозволяє вам увімкнути або вимкнути набір функціональних можливостей, які стосуються цього компонента. Використовуйте прапорець -h, щоб побачити повний набір функціональних можливостей для всіх компонентів. Щоб встановити функціональні можливості для компонента, такого як kubelet, використовуйте прапорець --feature-gates, призначений для списку пар функцій:

--feature-gates=...,GracefulNodeShutdown=true

Наступні таблиці є підсумком функціональних можливостей, які ви можете встановити на різних компонентах Kubernetes.

• Стовпець "З версії" містить випуск Kubernetes, коли функція вперше введена або змінено її стадію випуску.
• Стовпець "До" містить останній випуск Kubernetes, в якому ви все ще можете використовувати функціональну можливість.
• Якщо функція знаходиться в стані Alpha або Beta, ви можете знайти функцію в переліку Таблиці функціональних можливостей для Alpha або Beta функцій.
• Якщо функція стабільна, ви можете знайти всі стадії для цієї функції в переліку Таблиці функціональних можливостей для стабільних або застарілих функцій.
• Таблиця функціональних можливостей для стабільних або застарілих функцій також містить застарілі та вилучені функції.

Функціональні можливості для функцій Alpha або Beta

Функціональні можливості для стабільних або застарілих функцій

Використання функцій

Стадії функцій

Кожна функція може бути в стані Alpha, Beta або GA (загальнодоступна).

Alpha означає:

• Функція є типово вимкненою.
• Функція може містити помилки. Увімкнення функції може призвести до непередбачуваної поведінки.
• Підтримка функції може бути припинена в будь-який момент без попередження.
• API може змінюватися в несумісний спосіб в майбутніх випусках без попередження.
• Рекомендується використовувати функцію в кластерах з коротким терміном життя через значний ризик помилок та відсутність довгострокової підтримки.

Beta означає:

• Зазвичай функція є типово увімкненою. Бета API групи є типово вимкненими.
• Функція є добре протестованою. Увімкнення функції вважається безпечним.
• Підтримка загального функціонала не буде припинена, хоча деталі можуть змінюватися.
• Схема та/або семантика обʼєктів можуть змінюватися несумісними способами в наступному бета або стабільному випуску. Коли це станеться, ми надамо інструкції для переходу на наступну версію. Це може вимагати видалення, редагування та повторного створення API обʼєктів. Процес редагування може потребувати певних зусиль. Це може вимагати простою для застосунків, які залежать від функції.
• Рекомендується використовувати лише для некритичних для бізнесу випадків через можливість несумісних змін у наступних випусках. Якщо у вас є кілька кластерів, які можуть бути оновлені незалежно, ви можете послабити це обмеження.

Функція в стані Загальна доступність (GA) також називається стабільною функцією. Це означає:

• Функція завжди увімкнена; ви не можете її вимкнути.
• Відповідний перемикач функціональної можливості більше не потрібен.
• Стабільні версії функцій зʼявлятимуться у випущеному програмному забезпеченні для багатьох наступних версій.

Перелік функціональних можливостей

Кожна функціональна можливість створена для вмикання/вимикання певної функції.

• AdmissionWebhookMatchConditions: Вмикає умови збігу для модифікації та перевірки вебхуків допуску.

• AggregatedDiscoveryEndpoint: Вмикає єдину точку доступу до HTTP /discovery/<version>, яка підтримує власне кешування HTTP за допомогою теґів, що містять усі відомі APIResources на сервері API.

• AllowServiceLBStatusOnNonLB: Дозволяє встановлювати .status.ingress.loadBalancer для сервісів типів, відмінних від LoadBalancer.

• AnonymousAuthConfigurableEndpoints: Дозволяє увімкнути налаштовувані точки доступу для анонімної автентифікації для сервера API.

• AnyVolumeDataSource: Дозволити використання будь-якого власного ресурсу як DataSource для PVC.

• APIListChunking: Дозволяє клієнтам API отримувати (LIST або GET) ресурси з сервера API частинами.

• APIPriorityAndFairness: Дозволяє керувати паралельністю запитів за допомоги приорітезації та справедливості на кожному сервері. (Перейменовано з RequestManagement)

• APIResponseCompression: Стиснення відповідей API для запитів LIST або GET.

• APIServerIdentity: Присвоює кожному серверу API ідентифікатор у кластері, використовуючи Lease.

• APIServerTracing: Додає підтримку розподіленого трасування у сервері API. Докладні відомості наведено у статті Трасування системних компонентів Kubernetes.

• AppArmor: Вмикає використання примусового контролю доступу AppArmor для Podʼів, що працюють на вузлах Linux. Докладнішу інформацію наведено у Посібнику з AppArmor.

• AuthorizeNodeWithSelectors: Дозволяє авторизатору вузла використовувати детальну авторизацію за допомогою селекторів. Потрібно увімкнути AuthorizeWithSelectors.

• AuthorizeWithSelectors: Дозволяє використовувати селектори полів та міток для авторизації. Увімкнення полів fieldSelector та labelSelector в API SubjectAccessReview, передає інформацію про селектори полів і міток до вебхуків авторизації, активує функції fieldSelector та labelSelector у бібліотеці CEL для авторизації, а також дозволяє перевіряти поля fieldSelector і labelSelector в умовах збігу вебхуків авторизації.

• CloudControllerManagerWebhook: Вмикання веб-хуків у менеджері хмарних контролерів.

• CloudDualStackNodeIPs: Вмикає двостековий kubelet --node-ip із зовнішніми хмарними провайдерами. Див. статтю Налаштування подвійного стека IPv4/IPv6 для більш детальної інформації.

• ClusterTrustBundle: Вмикає обʼєкти ClusterTrustBundle та інтеграцію kubelet.

• ClusterTrustBundleProjection: джерела спроєцьованих томів clusterTrustBundle.

• ComponentSLIs: Вмикає точку доступу /metrics/slis на таких компонентах Kubernetes як kubelet, kube-scheduler, kube-proxy, kube-controller-manager, cloud-controller-manager що дозволяє вам отримувати метрики перевірки працездатності.

• ConsistentListFromCache:

  Покращує продуктивність API сервера Kubernetes, обслуговуючи узгоджені запити list безпосередньо з кешу спостереження, що підвищує масштабованість та скорочує час відгуку. Для узгодженого списку з кешу Kubernetes потрібна новіша версія etcd (v3.4.31+ або v3.5.13+), яка містить виправлення для функції запиту на прогрес спостереження. Якщо надана стара версія etcd, Kubernetes автоматично визначить це і повернеться до обслуговування узгоджених читань з etcd. Сповіщення про прогрес забезпечують узгодженість кешу спостереження з etcd, одночасно зменшуючи потребу у витратних читаннях кворуму з etcd.

  Детальніше дивіться у документації Kubernetes про Семантику для get і list.

• ContainerCheckpoint: Вмикає kubelet checkpoint API. Дивіться Kubelet Checkpoint API для більш детальної інформації.

• ContextualLogging: Вмикає додаткові деталі у виведенні логів компонентів Kubernetes, які підтримують контекстне ведення логів.

• CoordinatedLeaderElection: Вмикає поведінку, що підтримує API LeaseCandidate, а також забезпечує детерміноване обрання лідера для панелі управління Kubernetes.

• CPUManager: Вмикає підтримку спорідненості процесорів на рівні контейнерів, див. Політики керування процесорами.

• CPUManagerPolicyAlphaOptions: Дозволяє тонко налаштовувати політики CPUManager, експериментальні, альфа-опції якості. Ця функціональна можливість захищає групу опцій CPUManager, які мають рівень якості альфа. Ці функціональні можливості ніколи не будуть переведені у бета-версію або стабільну версію.

• CPUManagerPolicyBetaOptions: Дозволяє тонко налаштовувати політики CPUManager, експериментальні, бета-опції якості. Ця функціональна можливість захищає групу опцій CPUManager, які мають рівень якості бета. Ці функціональні можливості ніколи не будуть переведені у стабільну версію.

• CPUManagerPolicyOptions: Дозволяє тонко налаштовувати політики CPUManager.

• CRDValidationRatcheting: Ввімкнути оновлення власних ресурсів, щоб вони містили порушення їхньої схеми OpenAPI, якщо частини ресурсу, що порушують оновлення не змінилися. Докладніші відомості наведено у статті Проковзування валідації.

• CronJobsScheduledAnnotation: Встановіть час запланованого завдання як анотацію для завдань, створених від імені CronJob.

• CrossNamespaceVolumeDataSource: Вмикає використання перехресного простору назв джерела даних тома щоб дозволити вам вказувати простір імен джерела у полі dataSourceRef у PersistentVolumeClaim.

• CSIMigrationPortworx: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка Portworx до втулка Portworx CSI. Вимагає встановлення та налаштування втулка Portworx CSI в кластері.

• CSIMigrationRBD: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка RBD до втулка Ceph RBD CSI. Вимагає увімкнення прапорця функції CSIMigration та встановлення та налаштування втулка Ceph CSI в кластері. Цей прапорець було відзначено як застарілий на користь прапорця функції InTreePluginRBDUnregister, який запобігає реєстрації вбудованого втулка RBD.

• CSIVolumeHealth: Вмикає підтримку моніторингу стану справності томів CSI на вузлі.

• CustomCPUCFSQuotaPeriod: Дозволяє вузлам змінювати cpuCFSQuotaPeriod в конфігурації kubelet.

• CustomResourceFieldSelectors: Вмикає selectableFields в API CustomResourceDefinition, щоб дозволити фільтрацію запитів list, watch та deletecollection для власних ресурсів.

• DefaultHostNetworkHostPortsInPodTemplates:

  Ця функціональна можливість керує моментом, коли стандартне значення для .spec.containers[*].ports[*].hostPort назначається для Podʼів, які використовують hostNetwork: true. Типовим з версії Kubernetes v1.28 є те, що стандартне значення встановлюється лише для Podʼів.

  Вмикаючи цю функціональну можливість, стандартне значення буде назначено навіть для .spec вбудованого PodTemplate (наприклад, у Deployment), що є способом, яким працювали старі версії Kubernetes. Вам слід мігрувати свій код так, щоб він не залежав від старої поведінки.

• DevicePluginCDIDevices: Вмикає підтримку ідентифікаторів пристроїв CDI в API Device Plugin.

• DisableCloudProviders: Вимикає будь-яку функціональність у kube-apiserver, kube-controller-manager та kubelet, повʼязаних з прапорцем компонента --cloud-provider. прапором компонента.

• DisableKubeletCloudCredentialProviders: Вмикає вбудовану функціональність kubelet для автентифікації в реєстрі контейнерів хмарного постачальника для отримання облікових даних для отримання образів.

• DisableNodeKubeProxyVersion: Вимикає встановлення поля kubeProxyVersion вузла.

• DRAControlPlaneController: Дозволяє підтримувати ресурси з власними параметрами та життєвим циклом, який не залежить від Pod. Розподілом ресурсів займається контролер панелі управління драйвера ресурсу.

• DynamicResourceAllocation: Дозволяє підтримувати ресурси з власними параметрами та життєвим циклом які не залежать від Pod. Розподілом ресурсів займається планувальник Kubernetes використовуючи "структуровані параметри".

• EfficientWatchResumption: Дозволяє надсилати користувачам події закладок (сповіщення про хід виконання), що походять зі сховища. Застосовується лише до операцій спостереження.

• ElasticIndexedJob: Дозволяє масштабувати індексовані завдання шляхом зміни параметрів spec.completions та spec.parallelism таким чином, щоб spec.completions == spec.parallelism. Детальніше див. у документації про еластичні індексовані завдання.

• EventedPLEG: Вмикає підтримку kubelet для отримання подій життєвого циклу контейнера з container runtime через розширення до CRI. (PLEG, скорочення від "Pod lifecycle event generator" — генератор подій життєвого циклу Pod). Щоб ця функція була корисною, вам також потрібно увімкнути підтримку подій життєвого циклу контейнера у кожному середовищі виконання контейнерів, що працює у вашому кластері. Якщо середовище виконання контейнера не оголошує про підтримку подій життєвого циклу контейнера, то kubelet автоматично перемикається на застарілий загальний механізм PLEG, навіть якщо ви увімкнули цю функціональну можливість.

• ExecProbeTimeout: Переконайтеся, що kubelet дотримується таймаутів exec probe. Ця функція існує на випадок, якщо будь-яке з ваших робочих навантажень залежить від виправленої помилки, коли Kubernetes ігнорував тайм-аути exec probe. Дивіться проби готовності.

• GracefulNodeShutdown: Вмикає підтримку відповідного завершення роботи у kubelet. Під час вимкнення системи kubelet намагатиметься виявити подію вимкнення і завершити роботу Podʼів, запущених на вузлі, відповідним чином. Докладніші відомості наведено у статті Відповідне вимикання вузла.

• GracefulNodeShutdownBasedOnPodPriority: Дозволяє kubelet перевіряти пріоритети Pod під час відповідного завершення роботи вузла.

• HonorPVReclaimPolicy: Дотримуватися політики відновлення постійного тому, коли він має значення Delete, незалежно від впорядкування видалення PV-PVC. Докладніші відомості наведено у документації Завершувач захисту від видалення постійних томів.

• HPAContainerMetrics: Дозволяє HorizontalPodAutoscalers виконувати масштабування на основі метрик з окремих контейнерів у межах цільових Podʼів.

• HPAScaleToZero: Дозволяє встановлювати minReplicas у 0 для ресурсів HorizontalPodAutoscaler при використанні власних або зовнішніх метрик.

• ImageMaximumGCAge: Вмикає поле конфігурації kubelet imageMaximumGCAge, що дозволяє адміністратору вказати вік, після якого образ буде викинуто у смітник.

• ImageVolume: Дозволити використання джерела тому image у Pod. За допомогою цього джерела томів ви можете змонтувати образ контейнера як том лише для читання.

• InPlacePodVerticalScaling: Дозволяє вертикальне масштабування Podʼів на місці.

• InTreePluginPortworxUnregister: Припиняє реєстрацію вбудованого втулка Portworx у kubelet та контролерах томів.

• InTreePluginRBDUnregister: Припиняє реєстрацію вбудованого втулка RBD у kubelet та контролерах томів.

• JobBackoffLimitPerIndex: Дозволяє вказати максимальну кількість повторних спроб для кожного індексу в проіндексованих завданнях.

• JobManagedBy: Дозволяє делегувати узгодження обʼєкта Job зовнішньому контролеру.

• JobPodFailurePolicy: Дозволяє користувачам визначати обробку несправностей контейнерів на основі кодів виходу з контейнера та стану контейнерів.

• JobPodReplacementPolicy: Дозволяє вказувати заміну для Podʼів, що завершуються, в Job

• JobReadyPods: Дозволяє відстежувати кількість Podʼів, які мають стан Ready. Кількість Ready Podʼів записується у status Job.

• JobSuccessPolicy: Дозволяє користувачам вказувати, коли Job може бути визнаний успішним на основі набору успішних Podʼів.

• KMSv1: Вмикає API KMS v1 для шифрування у стані спокою. Докладні відомості наведено у статті Використання постачальника KMS для шифрування даних.

• KMSv2: Вмикає API KMS v2 для шифрування у стані спокою. Докладні відомості наведено у статті Використання постачальника KMS для шифрування даних.

• KMSv2KDF: Дозволяє KMS v2 генерувати одноразові ключі шифрування даних. Докладні відомості наведено у статті Використання постачальника KMS для шифрування даних. Якщо у вашому кластері не увімкнено елемент KMSv2, значення елемента KMSv2KDF не матиме жодного впливу.

• KubeletCgroupDriverFromCRI: Вмикає виявлення параметра конфігурації драйвера cgroup kubelet з CRI. Ви можете використовувати цю функціональну можливість на вузлах з kubelet, які її підтримують, і де є середовище виконання контейнерів CRI, що підтримує виклик CRI RuntimeConfig. Якщо як CRI, так і kubelet підтримують цю функцію, kubelet ігнорує налаштування конфігурації cgroupDriver (або застарілий аргумент командного рядка --cgroup-driver). Якщо ви увімкнете цю функціональну можливість, а середовище виконання контейнерів не підтримує її, kubelet повертається до використання драйвера, налаштованого за допомогою параметра конфігурації cgroupDriver. Дивіться Конфігурація драйвера cgroup для отримання додаткової інформації.

• KubeletInUserNamespace: Вмикає підтримку запуску kubelet у просторі імен користувачів. Див. розділ Запуск компонентів вузла Kubernetes від імені не-root користувача.

• KubeletPodResourcesDynamicResources: Розширює ресурси gRPC точки доступа Podʼа kublet, щоб включати ресурси, що виділені в ResourceClaims через API DynamicResourceAllocation. Див. звіт про виділення ресурсів для отримання додаткових відомостей. З цією інформацією про ресурси, клієнти можуть належним чином відстежувати вільні обчислювальні ресурси на вузлі.

• KubeletPodResourcesDynamicResources: Розширює ресурси gRPC точки доступу Podʼа kubelet, щоб включити ресурси, виділені в ResourceClaims через API DynamicResourceAllocation. Див. звіт про виділення ресурсів для отримання додаткової інформації, інформацією про доступні ресурси, що дозволяє клієнтам належним чином відстежувати вільні обчислювальні ресурси на вузлі.

• KubeletPodResourcesGet: Вмикає точку доступу Get gRPC в kubeletʼах для ресурсів Pod. Цей API доповнює звіт про розподіл ресурсів.

• KubeletSeparateDiskGC: Функція розділеної файлової системи образів дозволяє kubelet виконувати збір сміття образів (шарів лише для читання) та/або контейнерів (шарів для запису), розгорнутих на окремих файлових системах.

• KubeletTracing: Додавання підтримки розподіленого трасування в kubelet. Якщо увімкнено, інтерфейс CRI kubelet та автентифіковані http-сервери використовуються для генерації відрізків трасування OpenTelemetry. Дивіться Трасування для системних компонентів Kubernetes для більш детальної інформації.

• KubeProxyDrainingTerminatingNodes: Реалізація очищення зʼєднань для термінальних вузлів для сервісів externalTrafficPolicy: Cluster.

• LegacyServiceAccountTokenCleanUp: Вмикає очищення токенів службових облікових записів, що базуються на Secret, коли вони не використовуються протягом певного часу (стандартно — один рік).

• LoadBalancerIPMode: Дозволяє встановити ipMode для сервісів, де type встановлено у LoadBalancer. Докладнішу інформацію наведено у статті Визначення IPMode статусу балансувальника навантаження.

• LocalStorageCapacityIsolationFSQuotaMonitoring: Якщо LocalStorageCapacityIsolation увімкнено для локального ефемерного сховища, резервна файлова система для томів emptyDir підтримує квоти проєктів і UserNamespacesSupport увімкнено, квоти проєктів використовуються для моніторингу споживання сховища томів emptyDir, а не шляхом проходу файловою системою, що забезпечує кращу продуктивність і точність.

• LogarithmicScaleDown: Вмикає напіввипадковий вибір Podʼів для виселення при зменшенні масштабу контролера на основі логарифмічного обʼєднання міток часу Podʼів.

• LoggingAlphaOptions: Дозволяє тонко налаштовувати експериментальні, альфа-якості параметрів логування.

• LoggingBetaOptions: Дозволяє тонко налаштовувати експериментальні, бета-якості параметрів логування.

• MatchLabelKeysInPodAffinity: Вмикає поля matchLabelKeys та mismatchLabelKeys для pod (anti)affinity.

• MatchLabelKeysInPodTopologySpread: Вмикає поле matchLabelKeys для Обмеження поширення топології Podʼів.

• MaxUnavailableStatefulSet: Дозволяє встановити поле maxUnavailable для rolling update strategy набору StatefulSet. Поле визначає максимальну кількість Podʼів, які можуть бути недоступні під час оновлення.

• MemoryManager: Дозволяє встановити спорідненість памʼяті для контейнера на основі топології NUMA.

• MemoryQoS: Вмикає захист памʼяті та обмеження використання памʼяті на pod/контейнер за допомогою контролера памʼяті cgroup v2.

• MinDomainsInPodTopologySpread: Вмикає minDomains в Обмеженнях поширення топології Pod.

• MultiCIDRServiceAllocator: Відстежуйте розподіл IP-адрес для IP кластера сервісів за допомогою обʼєктів IPAddress.

• MutatingAdmissionPolicy: У Kubernetes 1.31 цей елемент не має ефекту. У майбутньому випуску Kubernetes цей елемент може бути використано для увімкнення MutatingAdmissionPolicy у ланцюжку допусків.

• NewVolumeManagerReconstruction:

  Дозволяє покращити виявлення змонтованих томів під час запуску kubelet. Оскільки відповідний код було суттєво перероблено, у версіях Kubernetes від 1.25 до 1.29 можна було вимкнути цю функцію у випадку, якщо kubelet застряг під час запуску або не розмонтував томи з завершених Podʼів.

  Цей рефакторинг лежав в основі функції SELinuxMountReadWriteOncePod у версіях Kubernetes 1.25 та 1.26.

• NFTablesProxyMode: Дозволяє запуск kube-proxy у режимі nftables.

• NodeInclusionPolicyInPodTopologySpread: Вмикає використання nodeAffinityPolicy та nodeTaintsPolicy в Обмеження поширення топології Podʼів при обчисленні відхилення розповсюдження топології вузлів.

• NodeLogQuery: Дозволяє запитувати логи сервісів вузла за допомогою точки доступу /logs.

• NodeOutOfServiceVolumeDetach: Коли вузол позначено як такий, що не працює, за допомогою taint node.kubernetes.io/out-of-service, то Podʼи на цьому вузлі будуть примусово видалені, якщо вони не можуть толерувати цю позначку, а операції відʼєднання томів для Podʼів, що завершують роботу на цьому вузлі, будуть виконані негайно. Видалені Podʼи можуть бути швидко відновлені на інших вузлах.

• NodeSwap: Дозволяє kubelet виділяти памʼять підкачки для робочих навантажень Kubernetes на вузлі. Має використовуватися з KubeletConfiguration.failSwapOn, встановленим у false. За більш детальною інформацією зверніться до swap memory

• OpenAPIEnums: Дозволяє заповнювати поля "enum" схем OpenAPI у специфікації, що повертається від сервера API.

• PDBUnhealthyPodEvictionPolicy: Вмикає поле unhealthyPodEvictionPolicy в полі PodDisruptionBudget. Визначає, коли слід розглядати можливість виселення несправних Podʼів. Будь ласка, дивіться Політику виселення несправних Podʼів для більш детальної інформації.

• PersistentVolumeLastPhaseTransitionTime: Додає нове поле до PersistentVolume, яке містить мітку часу, коли том востаннє змінював свою фазу.

• PodAndContainerStatsFromCRI: Налаштуйте kubelet на збір статистики контейнерів і Podʼів під час виконання CRI-контейнера, а не на збір статистики з cAdvisor. Починаючи з версії 1.26, це також включає збір метрик з CRI та надсилання їх за допомогою /metrics/cadvisor (замість того, щоб cAdvisor відправляв їх безпосередньо).

• PodDeletionCost: Вмикає функцію Pod Deletion Cost, яка дозволяє користувачам впливати на порядок зменшення масштабу ReplicaSet.

• PodDisruptionConditions: Вмикає підтримку додавання спеціальної умови, яка вказує на те, що Pod видаляється через збій.

• PodHostIPs: Вмикає поле status.hostIPs для Podʼів та downward API. Це поле дозволяє вам показувати IP-адреси хостів робочим навантаженням.

• PodIndexLabel: Дозволяє контролеру Job і контролеру StatefulSet додавати індекс Podʼів як мітку під час створення нових Podʼів. Докладніше дивіться в документах Режим завершення завдання та Мітка індексу Podʼів StatefulSet.

• PodLifecycleSleepAction: Вмикає дію sleep в хуках життєвого циклу контейнера.

• PodReadyToStartContainersCondition:

  Дозволяє kubelet позначати стан PodReadyToStartContainers для контейнерів Podʼів.

  Раніше ця функціональна можливість була відома як PodHasNetworkCondition, а повʼязана з нею умова називалася PodHasNetwork.

• PodSchedulingReadiness: Дозволяє встановлювати поле SchedulingGates для керування готовністю до виселення за розкладом.

• PortForwardWebsockets: Дозволити потокове передавання WebSocket підпротоколу portforward (port-forward) від клієнтів, які запитують версію v2 (v2.portforward.k8s.io) підпротоколу.

• ProcMountType: Дозволяє керувати типом монтування proc для контейнерів, встановлюючи поле procMount у SecurityContext.

• QOSReserved: Дозволяє резервувати ресурси на рівні QoS, запобігаючи тим самим тому, щоб підсистеми на рівнях QoS нижчого рівня виходили за межі ресурсів, запитаних на рівнях QoS вищого рівня (наразі лише памʼять).

• RecoverVolumeExpansionFailure: Дозволяє користувачам редагувати свої PVC до менших розмірів, щоб можна було відновити їх після попередніх збоїв під час розширення томів. Докладні відомості див. у статті Відновлення після збою під час розширення томів.

• RecursiveReadOnlyMounts: Вмикає підтримку рекурсивних монтувань лише для читання. Докладні відомості наведено у статті монтування лише для читання.

• RelaxedEnvironmentVariableValidation: Дозволити майже всі друковані символи ASCII у змінних оточення.

• RemainingItemCount: Дозволити серверам API показувати кількість елементів, що залишилися, у відповіді на запит chunking list request.

• ResilientWatchCacheInitialization: Дозволяє відмовостійку ініціалізацію кешу watch, щоб уникнути перевантаження панелі управління.

• ResourceHealthStatus: Вмикає поле allocatedResourcesStatus у файлі .status для Pod. У полі буде показано додаткові відомості для кожного контейнера у Pod, а також інформацію про стан кожного пристрою, призначеного для Pod. Докладні відомості наведено у статті Втулок пристрою та несправні пристрої.

• RetryGenerateName: Дозволяє повторити спробу створення обʼєкта, коли API server очікується, що сервер API server згенерує name. Якщо цю можливість увімкнено, запити з використанням generateName будуть автоматично повторюватися, якщо панель управління виявить конфлікт імен з наявним обʼєктом, але не більше 8 спроб.

• RetryGenerateName: Дозволяє повторити спробу створення обʼєкта, коли очікується, що API server створить name. Коли цю можливість увімкнено, запити з використанням generateName автоматично повторюються у випадку, якщо панель управління виявляє конфлікт імен з наявним обʼєктом, до обмеження у 8 спроб.

• RotateKubeletServerCertificate: Вмикає ротацію серверного TLS-сертифікату в kubelet. Дивіться kubelet configuration для більш детальної інформації.

• RuntimeClassInImageCriApi: Дозволяє витягувати зображення на основі класу виконання Podʼів, які посилаються на них.

• SchedulerQueueingHints: Дозволяє покращення підказок планувальника, що дозволяє зменшити кількість марних перезапитів. Планувальник повторно спробує запланувати Podʼи, якщо щось зміниться у кластері, що може призвести до того, що Pod буде заплановано. Підказки щодо черги — це внутрішні сигнали, які дозволяють планувальнику відфільтрувати зміни у кластері, які мають відношення до незапланованого Podʼа, на основі попередніх спроб планування.

• SELinuxMount:

  Прискорює запуск контейнера, дозволяючи kubelet монтувати томи для Pod безпосередньо з правильною міткою SELinux замість того, щоб рекурсивно змінювати кожен файл на томах. Це розширює можливості покращення продуктивності за допомогою SELinuxMountReadWriteOncePod, поширюючи реалізацію на всі томи.

  Для увімкнення SELinuxMount потрібно, щоб було увімкнено SELinuxMountReadWriteOncePod.

• SELinuxMountReadWriteOncePod: Прискорює запуск контейнера, дозволяючи kubelet монтувати томи для Pod безпосередньо з правильною міткою SELinux замість того, щоб рекурсивно змінювати кожен файл на томах. Початкова реалізація була зосереджена на томах ReadWriteOncePod.

• SeparateTaintEvictionController: Дозволяє запуск TaintEvictionController, який виконує Taint-based Evictions, у контролері, відокремленому від NodeLifecycleController. Коли цю можливість увімкнено, користувачі можуть за бажанням вимкнути виселення на основі Taint, встановивши прапорець --controllers=-taint-eviction-controller у kube-controller-manager.

• ServerSideApply: Вмикає функцію Server Side Apply (SSA) на сервері API.

• ServerSideFieldValidation: Вмикає перевірку полів на стороні сервера. Це означає, що перевірка схеми ресурсів виконується на стороні сервера API, а не на стороні клієнта (наприклад, командний рядок kubectl create або kubectl apply).

• ServiceAccountTokenJTI: Контролює, чи вбудовуються JTI (UUID) у згенеровані токени службових облікових записів, і чи записуються ці JTI до логу аудиту Kubernetes для майбутніх запитів, зроблених цими токенами.

• ServiceAccountTokenNodeBinding: Контролює, чи дозволяє сервер API привʼязувати токени службових облікових записів до обʼєктів Node.

• ServiceAccountTokenNodeBindingValidation: Керує тим, чи буде apiserver перевіряти посилання на Node у токенах службових облікових записів.

• ServiceAccountTokenPodNodeInfo: Керує тим, чи вбудовувати імʼя вузла та uid для повʼязаного з ним вузла при видачі токенів службових облікових записів, привʼязаних до обʼєктів Pod.

• ServiceTrafficDistribution: Дозволяє використовувати необовʼязкове поле spec.trafficDistribution у Services. У цьому полі можна вказати параметри розподілу трафіку між точками доступу Service.

• SidecarContainers: Дозволити встановлювати restartPolicy контейнера init значення Always, щоб контейнер ставав sidecar-контейнером (контейнери init, які можна перезапустити). Дивіться Контейнери Sidecar та restartPolicy для отримання більш детальної інформації.

• SizeMemoryBackedVolumes: Дозволяє kubelet визначати обмеження розміру для памʼяті, яка використовується для томів (головним чином для томів emptyDir).

• SkipReadOnlyValidationGCE: Пропускає валідацію для GCE, буде увімкнено у наступній версії.

• StableLoadBalancerNodeSet: Дозволяє зменшити кількість переконфігурацій балансувальника навантаження контролером послуг (KCCM) внаслідок зміни стану вузла.

• StatefulSetAutoDeletePVC: Дозволяє використовувати необовʼязкове поле .spec.persistentVolumeClaimRetentionPolicy, що забезпечує контроль над видаленням PVC у життєвому циклі StatefulSet. Дивіться PersistentVolumeClaim retention для більш детальної інформації.

• StatefulSetStartOrdinal: Дозволити налаштування порядкового номера старту у StatefulSet. Дивіться Початковий порядковий номер для більш детальної інформації.

• StorageVersionAPI: Вмикає API версії зберігання.

• StorageVersionHash: Дозволити API-серверам показувати хеш версії сховища при відкритті.

• StorageVersionMigrator: Вмикає міграцію версій сховища. Докладні відомості наведено у статті Міграція обʼєктів Kubernetes за допомогою міграції версій сховища.

• StructuredAuthenticationConfiguration: Вмикає конфігурацію структурованої автентифікації для сервера API.

• StructuredAuthorizationConfiguration: Вмикає структуровану конфігурацію авторизації, щоб адміністратори кластера могли вказати більше одного webhook авторизації в ланцюжку обробників серверів API.

• SupplementalGroupsPolicy: Вмикає підтримку детального контролю SupplementalGroups. Докладні відомості див. у статті Налаштування детального контролю SupplementalGroups для Podʼа.

• TopologyAwareHints: Вмикає маршрутизацію з урахуванням топології на основі підказок топології у EndpointSlices. Див. статтю Підказки з урахуванням топології для отримання детальнішої інформації.

• TopologyManagerPolicyAlphaOptions: Дозволяє тонке налаштування політик менеджера топології, експериментальні варіанти з альфа-якістю. Ця функціональна можливість захищає групу параметрів менеджера топології, рівень якості яких є альфа. Ця функціональна можливість ніколи не перейде до бета-версії або стабільної версії.

• TopologyManagerPolicyBetaOptions: Дозволяє тонке налаштування політик менеджера топології, експериментальні варіанти з бета-якістю. Ця функціональна можливість захищає групу параметрів менеджера топології, рівень якості яких є бета. Ця функціональна можливість ніколи не перейде до стабільної версії.

• TopologyManagerPolicyOptions: Вмикає тонке налаштування політик менеджера топології.

• TranslateStreamCloseWebsocketRequests: Дозволити WebSocket потік підпротоколу віддалених команд (exec, cp, attach) від клієнтів, які запитують версію 5 (v5) підпротоколу.

• UnauthenticatedHTTP2DOSMitigation: Вмикає помʼякшення наслідків відмови в обслуговуванні (DoS) HTTP/2 для неавторизованих клієнтів. У версіях Kubernetes від 1.28.0 до 1.28.2 ця функція не включена.

• UnknownVersionInteroperabilityProxy: Проксі-запити ресурсів до правильного однорангового kube-apiserver, коли існує декілька kube-апісерверів у різних версіях. Докладнішу інформацію наведено у статті Проксі змішаних версій.

• UserNamespacesPodSecurityStandards: Дозволити помʼякшення політик стандартів безпеки для Podʼів, які працюють з просторами імен. Ви маєте встановити значення цієї можливості узгоджено на всіх вузлах кластера, а також увімкнути UserNamespacesSupport, щоб використовувати цю можливість.

• UserNamespacesSupport: Вмикання підтримки простору імен користувача для Podʼів.

• ValidatingAdmissionPolicy: Вмикання підтримки ValidatingAdmissionPolicy для використання валідації CEL у контролі допуску.

• VolumeAttributesClass: Вмикання підтримки класів VolumeAttributesClasses. Докладні відомості див. у статті Класи атрибутів томів.

• VolumeCapacityPriority: Вмикання підтримки пріоритезації вузлів у різних топологіях на основі доступної місткості PV.

• WatchBookmark: Вмикає підтримку подій закладок для спостереження.

• WatchCacheInitializationPostStartHook: Вмикає post-start-hook для ініціалізації watchcache як частину readyz (з таймаутом).

• WatchFromStorageWithoutResourceVersion: Дозволяє watch без resourceVersion працювати зі сховища.

• WatchList: Вмикання підтримки потокового передавання початкового стану обʼєктів у запитах на спостереження.

• WindowsHostNetwork: Вмикає підтримку приєднання контейнерів Windows до мережевого простору імен хостів.

• WinDSR: Дозволяє kube-proxy створювати DSR-балансувальники навантаження для Windows.

• WinOverlay: Дозволяє kube-proxy працювати в режимі оверлею для Windows.

• ZeroLimitedNominalConcurrencyShares: Дозволити priority & fairness на сервері API використовувати нульове значення для поля nominalConcurrencyShares секції limited рівня пріоритету.

Що далі

• У Політиці застарівання Kubernetes пояснюється підхід проєкту до видалення функцій та компонентів.
• Починаючи з Kubernetes 1.24, нові бета-версії API стандартно не увімкнені. При увімкненні бета-версії вам також потрібно буде увімкнути всі повʼязані з цим API ресурси. Наприклад, щоб увімкнути певний ресурс, наприклад storage.k8s.io/v1beta1/csistoragecapacities, встановіть --runtime-config=storage.k8s.io/v1beta1/csistoragecapacities. Докладнішу інформацію про прапорці командного рядка наведено в Версіювання API.

2 - Функціональні можливості (вилучені)

Ця сторінка містить список функціональних можливостей воріт, які були видалені. Інформація на цій сторінці є довідковою. Вилучені функціональні можливості відрізняються від GA або застарілих тим, що вилучені функціональні можливості більше не розпізнається як дійсний функціональний елемент. Однак, GA'ed або застарілі функціональні ворота все ще розпізнаються відповідними компонентами Kubernetes, хоча вони не можуть спричинити жодних відмінностей у поведінці кластера.

Для отримання інформації про функціональні можливості, які все ще розпізнаються компонентами Kubernetes, зверніться до Таблиці функціональних можливостей Alpha/Beta або Таблиці функціональних можливостей Graduated/Deprecated.

Вилучені функціональні можливості

В наступній таблиці:

• У стовпчику "З" вказано реліз Kubernetes, у якому зʼявилася функція або змінено стадію її випуску.
• Стовпець "До", якщо він не порожній, містить останній випуск Kubernetes, у якому ви все ще можете використовувати функціональні можливості. Якщо стадія функції "Deprecated" або "GA", стовпець "До" вказує на випуск Kubernetes, з якого функцію було вилучено.

Опис вилучених функціональних можливостей

• Accelerators: Надавав ранню форму втулка для ввімкнення підтримки графічного процесора Nvidia під час використання Docker Engine; більше не доступний. Див. Втулки пристроїв для альтернатив.

• AdvancedAuditing: Вмикає розширений аудит

• AffinityInAnnotations: Вмикає встановлення Спорідненість та антиспорідненість Podʼів.

• AllowExtTrafficLocalEndpoints: Вмикає сервіс для маршрутизації зовнішніх запитів до локальних точок доступу вузла.

• AllowInsecureBackendProxy: Дозволяє користувачам пропускати перевірку TLS для kubelet на запитах до логів Pod.

• APISelfSubjectReview: Вмикає API SelfSubjectReview, який дозволяє користувачам бачити автентифікаційну інформацію субʼєкта запиту. Дивіться API доступу до автентифікаційної інформації для клієнта для більш детальної інформації.

• AttachVolumeLimit: Вмикає втулки томів, щоб повідомляти про обмеження на кількість томів які може бути приєднано до вузла. Див. розділ динамічні обмеження тому для детальнішої інформації.

• BalanceAttachedNodeVolumes: Включити підрахунок volume на вузлі, який слід враховувати для збалансованого розподілу ресурсів при плануванні. Вузлу, який має ближче завантаження процесора, завантаження памʼяті та кількість томів, віддається перевага при прийнятті рішень планувальником.

• BlockVolume: Увімкніть визначення та споживання необроблених блокових пристроїв у Podʼах. Див. статтю Підтримка необроблених блокових томів для більш детальної інформації.

• BoundServiceAccountTokenVolume:

  Переносить томи ServiceAccount для використання спроєцьованого тому, що складається з ServiceAccountTokenVolumeProjection. Адміністратори кластера можуть використовувати метрику serviceaccount_stale_tokens_total для моніторингу робочих навантажень, які залежать від розширених токенів. Якщо таких навантажень немає, вимкніть розширені токени, запустивши kube-apiserver з прапорцем --service-account-extend-token-expiration=false.

  Ознайомтеся зі статтею Привʼязані токени службових облікових записів для більш детальної інформації.

• ConfigurableFSGroupPolicy: Дозволяє користувачеві налаштувати політику зміни дозволів на томи для fsGroups під час монтування тому в Pod. Див. Налаштування політики зміни дозволів на томи та права власності для Podʼів для більш детальної інформації.

• ConsistentHTTPGetHandlers: Нормалізувати передачу URL-адреси та заголовка HTTP-запиту для життєвого циклу обробників з пробами.

• ControllerManagerLeaderMigration: Вмикає міграцію лідерів для kube-controller-manager та cloud-controller-manager що дозволяє оператору кластера в реальному часі мігрувати контролери з kube-controller-manager у зовнішній контролер-менеджер (наприклад, cloud-controller-manager) у кластері HA без простоїв.

• CRIContainerLogRotation: Вмикає ротацію логів контейнера для середовища виконання контейнерів CRI. Стандартний максимальний розмір файлу логу становить 10 МБ, а максимальна кількість файлів логу для контейнера — 5. Ці значення можна налаштувати у конфігурації kubelet. Див. статтю ведення логів на рівні вузла для більш детальної інформації.

• CronJobControllerV2: Використовуйте альтернативну реалізацію контролера CronJob. В іншому випадку буде обрано версію 1 цього ж контролера.

• CronJobTimeZone: Дозволити використання необовʼязкового поля timeZone у CronJobs

• CSIBlockVolume: Вмикає підтримку блочного сховища зовнішніми драйверами томів CSI. Див. статтю Підтримка CSI для блочних томів для детальнішої інформації.

• CSIDriverRegistry: Вмикає всю логіку, повʼязану з обʼєктом CSIDriver API в csi.storage.k8s.io.

• CSIInlineVolume: Увімкніть підтримку томів CSI Inline для Podʼів.

• CSIMigration: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка до втулка CSI.

• CSIMigrationAWS: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка AWS-EBS до втулка EBS CSI. Підтримує відновлення до втулка EBS для операцій монтування на вузлах, на яких функція вимкнена або на яких втулок EBS CSI не встановлено та не налаштовано. Не підтримує відновлення для операцій надання, для них втулок CSI повинен бути встановлений та налаштований.

• CSIMigrationAWSComplete: Припиняє реєстрування вбудованих втулків EBS в kubelet та контролерах томів та вмикає shimʼи та логіку перекладу для маршрутизації операцій з томами від вбудованого втулка EBS AWS до втулка EBS CSI. Вимагає ввімкнених прапорців CSIMigration та CSIMigrationAWS та встановленого та налаштованого втулка EBS CSI на всіх вузлах кластера. Цей прапорець було відзначено як застарілий на користь прапорця InTreePluginAWSUnregister, який перешкоджає реєстрації вбудованого втулка EBS.

• CSIMigrationAzureDisk: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка Azure-Disk до втулка AzureDisk CSI. Підтримує відновлення до втулка AzureDisk для операцій монтування на вузлах, на яких функція вимкнена або на яких втулок AzureDisk CSI не встановлено та не налаштовано. Не підтримує відновлення для операцій надання, для них втулок CSI повинен бути встановлений та налаштований. Вимагає увімкнення прапорця функції CSIMigration.

• CSIMigrationAzureDiskComplete: Припиняє реєстрування вбудованих втулків Azure-Disk в kubelet та контролерах томів та вмикає shimʼи та логіку перекладу для маршрутизації операцій з томами від вбудованого втулка Azure-Disk до втулка AzureDisk CSI. Вимагає ввімкнених прапорців CSIMigration та CSIMigrationAzureDisk та встановленого та налаштованого втулка AzureDisk CSI на всіх вузлах кластера. Цей прапорець було відзначено як застарілий на користь прапорця InTreePluginAzureDiskUnregister, який перешкоджає реєстрації вбудованого втулка AzureDisk.

• CSIMigrationAzureFile: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка Azure-File до втулка AzureFile CSI. Підтримує відновлення до втулка AzureFile для операцій монтування на вузлах, на яких функція вимкнена або на яких втулок AzureFile CSI не встановлено та не налаштовано. Не підтримує відновлення для операцій надання, для них втулок CSI повинен бути встановлений та налаштований. Вимагає увімкнення прапорця функції CSIMigration.

• CSIMigrationAzureFileComplete: Припиняє реєстрування вбудованих втулків Azure-File в kubelet та контролерах томів та вмикає shimʼи та логіку перекладу для маршрутизації операцій з томами від вбудованого втулка Azure-File до втулка AzureFile CSI. Вимагає ввімкнених прапорців CSIMigration та CSIMigrationAzureFile та встановленого та налаштованого втулка AzureFile CSI на всіх вузлах кластера. Цей прапорець було відзначено як застарілий на користь прапорця InTreePluginAzureFileUnregister, який перешкоджає реєстрації вбудованого втулка AzureFile.

• CSIMigrationGCE: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка GCE-PD до втулка PD CSI. Підтримує відновлення до втулка PD для операцій монтування на вузлах, на яких функція вимкнена або на яких втулок PD CSI не встановлено та не налаштовано. Не підтримує відновлення для операцій надання, для них втулок CSI повинен бути встановлений та налаштований. Вимагає увімкнення прапорця функції CSIMigration.

• CSIMigrationGCEComplete: Припиняє реєстрування вбудованих втулків GCE-PD в kubelet та контролерах томів та вмикає shimʼи та логіку перекладу для маршрутизації операцій з томами від вбудованого втулка GCE-PD до втулка GCE-PD CSI. Вимагає ввімкнених прапорців CSIMigration та CSIMigrationGCE та встановленого та налаштованого втулка GCE-PD CSI на всіх вузлах кластера. Цей прапорець було відзначено як застарілий на користь прапорця InTreePluginGCEUnregister, який перешкоджає реєстрації вбудованого втулка GCE-PD.

• CSIMigrationOpenStack: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка Cinder до втулка Cinder CSI. Підтримує відновлення до втулка Cinder для операцій монтування на вузлах, на яких функція вимкнена або на яких втулок Cinder CSI не встановлено та не налаштовано. Не підтримує відновлення для операцій надання, для них втулок CSI повинен бути встановлений та налаштований. Вимагає увімкнення прапорця функції CSIMigration.

• CSIMigrationOpenStackComplete: Припиняє реєстрування вбудованих втулків Cinder в kubelet та контролерах томів та вмикає shimʼи та логіку перекладу для маршрутизації операцій з томами від вбудованого втулка Cinder до втулка Cinder CSI. Вимагає ввімкнених прапорців CSIMigration та CSIMigrationOpenStack та встановленого та налаштованого втулка Cinder CSI на всіх вузлах кластера. Цей прапорець було відзначено як застарілий на користь прапорця InTreePluginOpenStackUnregister, який перешкоджає реєстрації вбудованого втулка Cinder OpenStack.

• CSIMigrationvSphere: Вмикає shimʼи та логіку передачі для маршрутизації операцій тому з вбудованого втулка vSphere до втулка vSphere CSI. Підтримує відновлення до втулка vSphere для операцій монтування на вузлах, на яких функція вимкнена або на яких втулок vSphere CSI не встановлено та не налаштовано. Не підтримує відновлення для операцій надання, для них втулок CSI повинен бути встановлений та налаштований. Вимагає увімкнення прапорця функції CSIMigration.

• CSIMigrationvSphereComplete: Припиняє реєстрацію вбудованого втулка vSphere в kubelet та контролерах томів та вмикає shimʼи та логіку перекладу для маршрутизації операцій з томами від вбудованого втулка vSphere до втулка vSphere CSI. Вимагає ввімкнених прапорців CSIMigration та CSIMigrationvSphere та встановленого та налаштованого втулка vSphere CSI на всіх вузлах кластера. Цей прапорець було відзначено як застарілий на користь прапорця InTreePluginvSphereUnregister, який перешкоджає реєстрації вбудованого втулка vSphere.

• CSINodeExpandSecret: Вмикає передачу секретних даних автентифікації до втулка CSI для використання під час операції NodeExpandVolume CSI.

• CSINodeInfo: Вмикає всю логіку, повʼязану з обʼєктом API CSINodeInfo в csi.storage.k8s.io.

• CSIPersistentVolume: Вмикає виявлення та монтування томів, які надаються через сумісний втулок томів CSI (Container Storage Interface).

• CSIServiceAccountToken: Дозволяє CSI-драйверам отримувати токен службового облікового запису для Podʼів, для яких вони монтували томи. Див. Запити токенів.

• CSIStorageCapacity: Вмикає втулок CSI для публікації інформації про обсяг сховища та використання цієї інформації планувальником Kubernetes під час планування Podʼів. Див. Обсяг сховища. Для отримання додаткових відомостей див. документацію про типи томів csi.

• CSIVolumeFSGroupPolicy: Дозволяє CSIDrivers використовувати поле fsGroupPolicy. Це поле керує тим, чи підтримують томи, створені CSIDriver, власність томів та зміни дозволів, коли ці томи монтуються.

• CSRDuration: Дозволяє клієнтам запитувати час дії для сертифікатів, виданих через Kubernetes CSR API.

• CustomPodDNS: Дозволяє змінювати налаштування DNS для Pod за допомогою властивості dnsConfig. Для отримання додаткової інформації див. DNS-налаштування Pod.

• CustomResourceDefaulting: Вмикає підтримку CRD для стандартних значень в схемах перевірки OpenAPI v3.

• CustomResourcePublishOpenAPI: Вмикає публікацію специфікацій CRD OpenAPI.

• CustomResourceSubresources: Вмикає субресурси /status та /scale для ресурсів, створених з CustomResourceDefinition.

• CustomResourceValidation: Вмикає перевірку на основі схеми для ресурсів, створених з CustomResourceDefinition.

• CustomResourceValidationExpressions: Вмикає перевірку мови виразів у CRD, яка буде перевіряти власний ресурс клієнта на основі правил валідації, написаних у розширенні x-kubernetes-validations.

• CustomResourceWebhookConversion: Вмикає конверсію на основі webhook для ресурсів, створених з CustomResourceDefinition.

• DaemonSetUpdateSurge: Дозволяє робочим навантаженням DaemonSet зберігати доступність під час оновлення на кожному вузлі. Див. Виконання поетапного оновлення DaemonSet.

• DefaultPodTopologySpread: Дозволяє використовувати втулок планування PodTopologySpread для виконання стандартного розподілу.

• DelegateFSGroupToCSIDriver: Якщо підтримується драйвером CSI, делегує роль застосовуючи fsGroup з securityContext Pod до драйвера, передаючи fsGroup через виклики CSI NodeStageVolume та NodePublishVolume.

• DevicePlugins: Вмикає device-plugins на основі виділення ресурсів на вузлах.

• DisableAcceleratorUsageMetrics: Вимкнути метрики акселератора, що збираються kubelet.

• DownwardAPIHugePages: Вмикає використання великих сторінок (hugepages) у downward API.

• DryRun: Вмикає запити dry rin на боці сервера, щоб можна було тестувати валідацію, злиття та мутацію без впровадження змін.

• DynamicAuditing: Використовувалося для увімкнення динамічного аудиту до версії 1.19.

• DynamicKubeletConfig: Вмикає динамічну конфігурацію kubelet. Функція більше не підтримується за межами підтримуваної політики відхилення. Функціональну можливість було вилучено з kubelet у версії 1.24.

• DynamicProvisioningScheduling: Розширює стандартний планувальник, щоб врахувати топологію тома і обробляти виділення PV. Цю функцію було замінено функцією VolumeScheduling у версії 1.12.

• DynamicVolumeProvisioning: Вмикає динамічне виділення постійних томів для Podʼів.

• EnableAggregatedDiscoveryTimeout: Вмикає пʼятисекундний тайм-аут для агрегованих викликів виявлення.

• EnableEquivalenceClassCache: Дозволяє планувальнику кешувати еквівалентність вузлів при плануванні Podʼів.

• EndpointSlice: Вмикає EndpointSlices для більш масштабованих і розширюваних мережевих точок доступу. Див. статтю Увімкнення EndpointSlices.

• EndpointSliceNodeName: Вмикає поле EndpointSlice nodeName.

• EndpointSliceProxying: Якщо цю опцію увімкнено, kube-proxy на Linux використовуватиме EndpointSlices як основне джерело даних замість точок доступу, що дає змогу підвищити масштабованість і продуктивність. Див. статтю Увімкнення Endpoint Slices.

• EndpointSliceTerminatingCondition: Вмикає поля умов terminating та serving EndpointSlice.

• EphemeralContainers: Вмикає можливість додавання ефемерних контейнерів до запущених Podʼів.

• EvenPodsSpread: Увімкнення рівномірного планування Podʼів у всіх топологіях доменів. Див. розділ Обмеження поширення топології Podʼів.

• ExpandCSIVolumes: Дозволяє розширення томів CSI.

• ExpandedDNSConfig: Дозволяє використовувати kubelet і kube-apiserver, щоб отримати більше шляхів пошуку DNS і довший список шляхів пошуку DNS. Ця функція потребує підтримки середовища виконання контейнерів (Containerd: v1.5.6 або новішої версії, CRI-O: v1.22 або новішої версії). Див. статтю Розширена конфігурація DNS.

• ExpandInUsePersistentVolumes: Дозволяє розширювати використовувані постійні томи. Див. статтю Зміна розміру PersistentVolumeClaim.

• ExpandPersistentVolumes: Дозволяє розширювати постійні томи. Див. статтю "Розширення Persistent Volumes Claims".

• ExperimentalCriticalPodAnnotation: Увімкнути позначення певних Podʼів як критичних, щоб гарантувати їх планування. Ця функція застаріла внаслідок використання пріоритетів та випередження для Podʼів, починаючи з версії 1.13.

• ExperimentalHostUserNamespaceDefaulting: Дозволяє встановлення стандартного простору імен для хосту. Призначено для контейнерів, які використовують інші простори імен хосту, монтування хосту або контейнери, які мають привілеї або використовують конкретні не іменовані можливості (наприклад, MKNODE, SYS_MODULE і т. д.). Слід вмикати лише у випадку, якщо перепризначення (remapping) просторів імен користувача увімкнено в демоні Docker.

• ExternalPolicyForExternalIP: Виправляє помилку, коли ExternalTrafficPolicy не застосовується до Service ExternalIPs.

• GCERegionalPersistentDisk: Увімкніть регіональну функцію PD у GCE.

• GenericEphemeralVolume: Дозволяє створювати ефемерні, вбудовані томи, які підтримують усі функції звичайних томів (можуть надаватися сторонніми постачальниками сховищ, відстеження ємності сховища, відновлення зі знімка тощо). Див. статтю Ефемерні томи.

• GRPCContainerProbe: Вмикає метод gRPC для {Liveness,Readiness,Startup}Probe. Див. розділ Налаштування проб життєздатності, готовності та запуску.

• HugePages: Увімкніть виділення та використання попередньо виділених величезних сторінок.

• HugePageStorageMediumSize: Увімкніть підтримку декількох розмірів попередньо виділених величезних сторінок.

• HyperVContainer: Вмикає ізоляцію Hyper-V для контейнерів Windows

• IdentifyPodOS: Дозволяє вказати поле Pod OS. Це допомагає достовірно ідентифікувати операційну систему під час допуску до сервера API.

• ImmutableEphemeralVolumes: Дозволяє позначати окремі Secrets та ConfigMaps як незмінні для кращої безпеки та продуктивності.

• IndexedJob: Дозволяє контролеру Job керувати завершенням Pod за індексом завершення.

• IngressClassNamespacedParams: Дозволяє посилатися на параметри в межах простору імен у ресурсі IngressClass. Ця можливість додає два поля — Scope та Namespace до IngressClass.spec.parameters.

• Initializers: Дозволяє асинхронно координувати створення обʼєктів за допомогою втулка допуску Initializers.

• InTreePluginAWSUnregister: Припиняє реєстрацію вбудованого втулка aws-ebs у kubelet та контролерах томів.

• InTreePluginAzureDiskUnregister: Припиняє реєстрацію вбудованого втулка azuredisk у kubelet та контролерах томів.

• InTreePluginAzureFileUnregister: Припиняє реєстрацію вбудованого втулка azurefile у kubelet та контролерах томів.

• InTreePluginGCEUnregister: Припиняє реєстрацію вбудованого втулка gce-pd у kubelet та контролерах томів.

• InTreePluginOpenStackUnregister: Припиняє реєстрацію вбудованого втулка OpenStack cinder у kubelet та контролерах томів.

• InTreePluginvSphereUnregister: Припиняє реєстрацію вбудованого втулка vSphere у kubelet та контролерах томів.

• IPTablesOwnershipCleanup: Це призводить до того, що kubelet більше не створює застарілі правила iptables.

• IPv6DualStack: Вмикає підтримку подвійного стека для IPv6.

• JobMutableNodeSchedulingDirectives: Дозволяє оновити директиви планування вузлів у шаблоні pod Job.

• JobTrackingWithFinalizers: Дозволяє відстежувати завершення Job, не покладаючись на те, що Pods залишаться в кластері на невизначений час. Контролер Job використовує завершувачі Pod і поле у статусі Job для відстеження завершених Podʼів, щоб зарахувати їх до списку завершених.

• KubeletConfigFile: Дозволяє завантажувати конфігурацію kubelet з файлу, вказаного за допомогою конфігураційного файлу. Докладнішу інформацію див. у статті налаштування параметрів kubelet за допомогою конфігураційного файлу.

• KubeletCredentialProviders: Вмикає постачальників облікових даних для kubelet exec для отримання облікових даних для отримання образів.

• KubeletPluginsWatcher: Вмикає утиліту для відстеження втулків на основі проб, щоб дозволити kubelet виявляти втулки, такі як драйвери томів CSI.

• KubeletPodResources: Вмикає ресурси точки доступу gRPC kubelet Pod. Докладніші відомості наведено у статті Підтримка моніторингу пристроїв.

• KubeletPodResourcesGetAllocatable: Вмикає функцію GetAllocatableResources для ресурсів pod у kubelet. Цей API доповнює звіт про розподіл ресурсів

• LegacyNodeRoleBehavior: Якщо вимкнено, застаріла поведінка балансувальників навантаження сервісів та вимкнення вузлів ігноруватиме мітку node-role.kubernetes.io/master на користь специфічних міток, що надаються мітками NodeDisruptionExclusion та ServiceNodeExclusion.

• LegacyServiceAccountTokenNoAutoGeneration: Припиняє автоматичне створення токенів службових облікових записів на основі Secret.

• LegacyServiceAccountTokenTracking: Відстеження використання токенів службових облікових записів, що базуються на Secret.

• LocalStorageCapacityIsolation: Вмикає використання локального ефемерного сховища, а також властивість sizeLimit тома emptyDir.

• MinimizeIPTablesRestore: Вмикає нову логіку покращення продуктивності в режимі kube-proxy iptables.

• MixedProtocolLBService: Вмикає використання різних протоколів в одному екземплярі Service типу LoadBalancer.

• MountContainers: Вмикає використання контейнерів утиліт на хості як монтувальника томів.

• MountPropagation: Дозволяє надавати спільний доступ до тому, змонтованого одним контейнером, іншим контейнерам або Podʼам. Докладніші відомості наведено у статті поширення монтування.

• MultiCIDRRangeAllocator: Вмикає розподільник діапазону MultiCIDR.

• NamespaceDefaultLabelName: Налаштуйте API Server на встановлення незмінної мітки kubernetes.io/metadata.name у всіх просторах назв, що містить назву простору назв.

• NetworkPolicyEndPort: Дозволяє визначити порти у правилі NetworkPolicy як діапазон номерів портів.

• NetworkPolicyStatus: Вмикає субресурс status для обʼєктів NetworkPolicy.

• NodeDisruptionExclusion: Дозволяє використовувати мітку вузла node.kubernetes.io/exclude-disruption, яка запобігає евакуації вузлів під час збоїв у зоні.

• NodeLease: Увімкніть новий Lease API для звітування про пульс вузла, який може бути використаний як сигнал про стан вузла.

• NonPreemptingPriority: Вмикає поле preemptionPolicy для PriorityClass та Pod.

• OpenAPIV3: Дозволяє серверу API публікувати OpenAPI v3.

• PersistentLocalVolumes: Вмикає використання типу тому local у Podʼах. Якщо запитується local том, необхідно вказати спорідненість тому до Podʼів.

• PodAffinityNamespaceSelector: Вмикає функції селектора простору імен за спорідненістю Podʼа та CrossNamespacePodAffinity діапазону квотування.

• PodDisruptionBudget: Вмикає PodDisruptionBudget.

• PodHasNetworkCondition: Дозволити kubelet позначати стан PodHasNetwork для контейнерів. Його було перейменовано на PodReadyToStartContainersCondition у версії 1.28.

• PodOverhead: Вмикає PodOverhead для врахування накладних витрат на Pod.

• PodPriority: Дозволяє випередження та зміну планування Podʼів на основі їх пріоритетів.

• PodReadinessGates: Дозволяє увімкнути налаштування поля PodReadinessGate для розширення оцінювання готовності Pod. Дивіться Готовність Podʼа для більш детальної інформації.

• PodSecurity: Вмикає втулок допуску PodSecurity.

• PodShareProcessNamespace: Вмикає параметр shareProcessNamespace у Pod для спільного використання єдиного простору імен процесів між контейнерами, запущеними у Pod. Більш детальну інформацію можна знайти у статті Спільний простір імен процесів між контейнерами у Pod.

• PreferNominatedNode: Цей прапорець вказує планувальнику, чи будуть номіновані вузли перевірятися першими перед тим, як обходити всі інші вузли кластера.

• ProbeTerminationGracePeriod: Вмикає налаштування рівня проби terminationGracePeriodSeconds у контейнерах Pod. Дивіться пропозицію щодо вдосконалення для більш детальної інформації.

• ProxyTerminatingEndpoints: Дозволити kube-proxy обробляти завершення точок доступу, коли ExternalTrafficPolicy=Local.

• PVCProtection: Вмикає запобігання видаленню PersistentVolumeClaim (PVC), коли він все ще використовується яким-небудь Pod.

• ReadOnlyAPIDataVolumes:

  Встановлює configMap, secret, downwardAPI та projected тому для монтування в режимі "тільки читання".

  Починаючи з Kubernetes v1.10, ці типи томів завжди є тільки для читання, і ви не можете відмовитися від цього.

• ReadWriteOncePod: Дозволяє використовувати ReadWriteOncePod режим доступу до PersistentVolume.

• RemoveSelfLink: Встановлює поле .metadata.selfLink порожнім (порожній рядок) для всіх обʼєктів і колекцій. Це поле застаріло з випуску Kubernetes v1.16. Коли цю можливість увімкнено, поле .metadata.selfLink залишається частиною API Kubernetes, але завжди не встановлене.

• RequestManagement: Дозволяє керувати паралельністю запитів з пріоритетами та справедливістю на кожному сервері API. Замінено на APIPriorityAndFairness з 1.17.

• ResourceLimitsPriorityFunction: Вмикає функцію пріоритету планувальника, яка присвоює найнижчу можливу оцінку 1 вузлу, який задовольняє хоча б одному з лімітів процесора та памʼяті вхідного Podʼа. Це має на меті розірвати звʼязки між вузлами з однаковими оцінками.

• ResourceQuotaScopeSelectors: Вмикає селектори області обмежень ресурсів.

• RetroactiveDefaultStorageClass: Дозволяє призначати StorageClass незвʼязаним постійним томам (PVC) ретроактивно.

• RootCAConfigMap: Налаштуйте kube-controller-manager на публікацію ConfigMap з назвою kube-root-ca.crt у кожному просторі імен. Цей ConfigMap містить пакет CA, який використовується для перевірки зʼєднань з kube-apiserver. Докладні відомості наведено у статті Токени привʼязаних службових облікових записів.

• RotateKubeletClientCertificate: Вмикає ротацію клієнтського TLS-сертифікату в kubelet. Дивіться kubelet configuration для більш детальної інформації.

• RunAsGroup: Вмикає контроль за первинним ідентифікатором групи, встановленим у процесах ініціалізації контейнерів.

• RuntimeClass: Вмикає RuntimeClass для вибору конфігурацій середовища виконання контейнера.

• ScheduleDaemonSetPods: Дозволяє Podʼам DemonSet плануватися стандартним планувальником замість контролера DaemonSet.

• SCTPSupport: Вмикає значення protocol SCTP в означеннях Pod, Service, Endpoints, EndpointSlice та NetworkPolicy.

• SeccompDefault: Дозволяє використовувати RuntimeDefault як стандартний профіль seccomp для всіх робочих навантажень. Профіль seccomp вказується в ecurityContext Pod та/або Container.

• SecurityContextDeny: Ця можливість сигналізує про те, що контролер допуску SecurityContextDeny є застарілим.

• SelectorIndex: Дозволяє використовувати індекси на основі міток і полів у кеші спостереження сервера API для прискорення роботи зі списками.

• ServiceAccountIssuerDiscovery: Вмикає точки доступу OIDC discovery (URL видачі та JWKS) для видачі службових облікових записів в API-сервері. Див. Налаштування службових облікових записів для контейнерів Pod для отримання додаткових відомостей.

• ServiceAppProtocol: Вмикає поле appProtocol у Services та Endpoints.

• ServiceInternalTrafficPolicy: Вмикає поле internalTrafficPolicy у Services.

• ServiceIPStaticSubrange: Вмикає стратегію розподілу службових кластерних IP-адрес, згідно з якою діапазон ClusterIP поділяється на частини. Динамічні адреси ClusterIP призначатимуться переважно з верхнього діапазону, що дасть змогу користувачам призначати статичні адреси ClusterIP з нижнього діапазону з низьким ризиком колізій. Докладніші відомості наведено у статті Уникнення колізій.

• ServiceLBNodePortControl: Вмикає поле allocateLoadBalancerNodePorts у Services.

• ServiceLoadBalancerClass: Вмикає поле loadBalancerClass у Services. Див. Вказання класу реалізації балансувальника навантаження

• ServiceLoadBalancerFinalizer: Вмикає захист завершувача для Service load balancers.

• ServiceNodeExclusion: Дозволяє виключати вузли з балансувальників навантаження, створених хмарним постачальником. Вузол може бути виключений, якщо він має мітку "node.kubernetes.io/exclude-from-external-load-balancers".

• ServiceNodePortStaticSubrange: Дозволяє використовувати різні стратегії розподілу портів для Сервісів NodePort. Докладні відомості наведено у статті резервування діапазонів NodePort для уникнення колізій.

• ServiceTopology: Вмикає сервіс для маршрутизації трафіку на основі топології вузлів кластера.

• SetHostnameAsFQDN: Дозволяє вказати повне доменне імʼя (FQDN) як імʼя хосту Podʼів. Див. розділ Поле setHostnameAsFQDN у Pod.

• StartupProbe: Вмикає пробу запуску в kubelet.

• StatefulSetMinReadySeconds: Дозволяє контролеру StatefulSet дотримуватися значення minReadySeconds.

• StorageObjectInUseProtection: Відкладення видалення обʼєктів PersistentVolume або PersistentVolumeClaim, якщо вони все ще використовуються.

• StreamingProxyRedirects: Доручає серверу API перехоплювати (і виконувати) перенаправлення від бекенда ('kubelet') для потокових запитів. Прикладами потокових запитів є запити exec, attach і port-forward.

• SupportIPVSProxyMode: Вмикає балансування навантаження сервісів у кластері за допомогою IPVS. Докладні відомості див. у статті проксі-сервери.

• SupportNodePidsLimit: Вмикає підтримку обмеження PID на вузлі. Параметр pid=<number> в опціях --system-reserved і --kube-reserved можна вказати, щоб гарантувати, що вказану кількість ідентифікаторів процесів буде зарезервовано для системи в цілому і для системних демонів Kubernetes відповідно.

• SupportPodPidsLimit: Вмикання підтримки обмеження PID у Podʼах.

• SuspendJob: Дозволяє призупиняти та поновлювати виконання Jobs. Докладнішу інформацію дивіться у документації про Job.

• Sysctls: Вмикання підтримки параметрів ядра у просторі імен (sysctls), які можна задавати для кожного з Podʼів. Докладні відомості наведено у sysctls.

• TaintBasedEvictions: Дозволяє виселяти Podʼи з вузлів на основі taints на вузлах і толерантностей на Podʼах. Детальніше дивіться у статті taint та tolerances.

• TaintNodesByCondition: Дозволяє автоматичне позначення вузлів taints на основі станів вузлів.

• TokenRequest: Вмикає точку доступу TokenRequest для ресурсів службових облікових записів.

• TokenRequestProjection: Вмикає інʼєкцію токенів службових облікових записів у Pod через projected том.

• TopologyManager: Вмикання механізму для координації тонких призначень апаратних ресурсів для різних компонентів у Kubernetes. Див. розділ Керування політиками керування топологією на вузлі.

• TTLAfterFinished: Дозволити TTL-контролеру очищати ресурси після завершення їх виконання.

• UserNamespacesStatelessPodsSupport: Увімкніть підтримку простору імен користувачів для stateless Podʼів. Ці функціональні можливості були замінені на UserNamespacesSupport у випуску Kubernetes v1.28.

• ValidateProxyRedirects: Цей прапорець визначає, чи повинен сервер API перевіряти, що перенаправлення виконуються тільки на той самий хост. Використовується лише якщо увімкнено прапорець StreamingProxyRedirects.

• VolumePVCDataSource: Підтримка вказівки існуючого PVC як DataSource.

• VolumeScheduling: Вмикає планування з урахуванням топології тома і робить привʼязку PersistentVolumeClaim (PVC) обізнаною з рішеннями щодо планування. Це також дозволяє використовувати тип тома local при використанні разом з функціональною можливістю PersistentLocalVolumes.

• VolumeSnapshotDataSource: Вмикання підтримки джерела даних для створення знімків томів.

• VolumeSubpath: Дозволяє монтувати субшлях тому в контейнері.

• VolumeSubpathEnvExpansion: Вмикання поля SubPathExpr для розгортання змінних оточення у SubPath.

• WarningHeaders: Дозволяє надсилати заголовки попередження в відповідях API.

• WindowsEndpointSliceProxying: Якщо увімкнено, kube-proxy, що працює на Windows, використовуватиме EndpointSlices як основне джерело даних замість Endpoints, що забезпечує масштабованість і покращення продуктивності. Див. статтю Увімкнення Endpoint Slices.

• WindowsGMSA: Дозволяє передавати специфікацію облікових даних GMSA від Podʼів до середовища виконання контейнера.

• WindowsHostProcessContainers: Вмикає підтримку контейнерів Windows HostProcess.

• WindowsRunAsUserName: Вмикання підтримки запуску програм у контейнерах Windows від імені не типового користувача. Докладні відомості наведено у статті Налаштування RunAsUserName.

3 - kubelet

Огляд

Kubelet є основним "агентом вузла", який працює на кожному вузлі. Він може зареєструвати вузол на apiserver, використовуючи одне з наступного: імʼя хосту; прапорець для перевизначення імені хоста; або спеціальну логіку для провайдера хмарних послуг.

Kubelet працює в термінах PodSpec. PodSpe — це обʼєкт YAML або JSON, який описує Pod. Kubelet приймає набір PodSpec, які надаються різними механізмами (переважно через apiserver) і забезпечує, що контейнери, описані в цих PodSpec, працюють і є справними. Kubelet не управляє контейнерами, які не були створені Kubernetes.

Крім PodSpec з apiserver, є два способи, як маніфест контейнера може бути наданий kubelet.

• Файл: Шлях, переданий як прапорець у командному рядку. Файли за цим шляхом будуть періодично моніторитися на наявність оновлень. Період моніторингу стандартно становить 20 секунд і налаштовується за допомогою прапорця.
• HTTP endpoint: HTTP endpoint, переданий як параметр у командному рядку. Цей endpoint перевіряється кожні 20 секунд (також налаштовується за допомогою прапорця).

kubelet [flags]

Параметри