Canonical Kubernetes 1.29の一般提供を開始

by Canonical on 22 February 2024

重要な新機能とバグ修正を含むKubernetesの新しいアップストリーム「1.29」の一般提供が始まりました。Canonicalはアップストリームの開発に合わせて機能を強化し、セキュリティやサポートを加えたリリースを随時発表しています。したがって本日のMicroK8s 1.29に加え、Charmed Kubernetes 1.29の一般提供もまもなく開始します。

Canonical Kubernetes 1.29の新機能

Canonical Kubernetesディストリビューション、MicroK8s、Charmed Kubernetesは、アップストリームのKubernetes 1.29のすべての機能を持ちます。複数の新機能も追加されました。変更と機能強化の一覧は、MicroK8sおよびCharmed Kubernetesのリリースノートをご覧ください。

MicroK8s 1.29の注目点

NVIDIAの統合による大規模なAI/MLの運用

GPUとネットワークのNVIDIAオペレーターを新しいnvidiaアドオンに取り入れました。NVIDIA GPUオペレーターは、カーネルドライバーやNVIDIA Container Toolkitなど、GPUのプロビジョニングに必要なすべてのNVIDIAソフトウェアコンポーネントの管理を自動化します。ネットワークオペレーターは、GPUオペレーターと連動して、互換性のあるシステムでGPU-Direct RDMAを有効化します。

DQLiteの使いやすさと性能の改善

MicroK8sチームが近頃重視しているのは、Kubernetesディストリビューションに同梱されているデフォルトデータストアの安定性と効率の向上です。特に、今回のMicroK8sのバージョンには以下のような変更点があります。

• ドメインの可用性の障害時/変更時におけるDQliteノードのロールの再割り当て
• データストアのパフォーマンスを保護するアドミッション制御（オプション）
• ディスクストレージの問題の処理
• DQliteとSQLクエリの準備の静的リンクに関連するパフォーマンスの改善

成長中のコミュニティとパートナーエコシステム

Canonicalは、パートナーやコミュニティメンバーによって提供された以下の3つの新しいアドオンの追加を歓迎しています。

• Falco：カーネルイベントでカスタムルールを使用してリアルタイムのアラートを提供するクラウドネイティブのセキュリティツール
• クラウドネイティブPGオペレーター：クラウドネイティブのPostgreにより、EDB Postgres for Kubernetesが高いスピード、効率、保護機能でインフラストラクチャをモダナイズ
• ngrok：サービスに接続性、ロードバランシング、認証、可観測性を即座に追加するIngressコントローラー

Charmed Kubernetes 1.29の注目点

Charmedオペレーターフレームワーク（Ops）

Canonicalは、今年初めに開始したCharmed Kubernetesのリファクタリングを完了しました。チャームは、共通のチャームライブラリへのアクセス、Jujuのサポートの改善、コミュニティの関与を促進する一貫したチャーム機能を目的とし、reactiveおよびpod-specのスタイルからopsフレームワークに移行しました。

すぐに利用できるモニタリングの機能強化

Canonical Observability Stack（COS）は、Jujuの内外で実行されているワークロードが生成したテレメトリ信号の収集、処理、視覚化、アラートを行います。COSは、トップクラスのオープンソースの可観測性ツールを利用し、すぐに使える可観測性スイートです。

本リリースは、COSの統合を強化することで、Charmed Kubernetesのコントロールプレーンとワーカーノードコンポーネントに対する豊富なモニタリング機能を提供します。

コンテナネットワーキングの機能強化

Kube-OVN 1.12

Charmed Kubernetesは、Kube-OVN CNIのサポートによって高度なコンテナネットワーキングを引き続き追求しています。本リリースには、v1.12へのKube-OVNのアップグレードが含まれます。機能と修正の詳細は、ubuntu.com/security/esmをご覧ください。

Tigera Calico Enterprise

本リリースでは、calico-enterpriseチャームがCharmed Kubernetesの新しいコンテナネットワーキングのオプションとしてデビューしました。このチャームは高度なCalicoネットワーキング/ネットワークポリシーをサポートし、デフォルトのCalico CNIの代わりに使用できます。

コンポーネントのアップグレードと修正

Charmed Kubernetes 1.29リリースのコンポーネントのアップグレード、機能、バグ修正の全容は、Launchpadのmilestoneのページをご覧ください。

アップストリームKubernetes 1.29の主な変更点

1.29リリースに含まれる機能、廃止、バグ修正に関するデフォルトについては、変更ログをご覧ください。本記事では、最も重要な変更点を紹介します。

サイドカーコンテナのベータ版がデフォルトで有効

人気の高いサイドカーコンテナの実行パターンがベータ版となり、着実に主流への道を歩んでいます。明示的に定義されたサイドカーコンテナがあれば、何よりもメインアプリケーションまたはinitコンテナの前にサイドカーを取得するログを開始できます。ジョブのアプリの起動時やPodの終了時のサービスメッシュの可用性を気にする必要はありません。サイドカーコンテナがあるからです。この機能はベータ段階に入り、1.29からはデフォルトで有効化されています。

アドミッション制御向けCommon Expression Language（CEL）の改善

アドミッション検証ポリシーでは、Common Expression Language（CEL）を使用して、シンプルな式でKubernetesリソースのアドミッションポリシーを宣言します（たとえば、必須ラベルのないPodや、特権ホストパスマウントのあるPodは作成できません)。高度な構成が可能になり、ポリシーの作成者は、クラスターの管理者が必要に応じてパラメータ化してリソースにスコープを設定できるようなポリシーを定義できます。アドミッション制御向けCELは、1.26以降から利用可能です。デフォルトでは無効になっており、ValidatingAdmissionPolicyの機能フラグの後で利用可能です。

CRI-fullコンテナとPodの統計がアルファ版に

ワークロードのモニタリングは、実運用環境でクラスターを実行する上で非常に重要です。結局、コンテナとPodのリソース使用状況を把握する他の方法はないのですから。現時点で、この情報はCRIとcAdvisorの両方から取得するため、動作が重複したり、場合によっては指標の出所が曖昧になったりします。今回の機能強化の目標は、CRI APIと実装を拡張して、コンテナとPodの適切な観測を可能にするすべての指標を提供することです。この機能はPodAndContainerStatsFromCRIフラグによって有効化できます。

Podでのユーザーネームスペースのサポートの改善

現在、コンテナプロセスのユーザーID（UID）とグループID（GID）はPod内とホスト上で同じです。その結果、プロセスがPodからホストに出たときにセキュリティ上の課題が発生します。同じUID/GIDを使用するからです。同じUID/GIDで実行されているコンテナが他にもある場合、悪意のあるプロセスによって干渉されるおそれがあります。最悪の場合、Pod内でルートとして実行されているプロセスが、ホスト上でもルートとして実行されます。今回の機能強化では、ホスト上とPod内で異なるユーザーIDやグループIDでコンテナを実行できるよう、ユーザーネームスペースのサポートが提案されています。ユーザーネームスペースのサポートを有効化する場合、K8s 1.29では現時点でアルファ版であり、UserNamespacesSupportの機能フラグの後で利用可能です。

Canonical Kubernetesの詳細または当社の担当チームへのお問い合わせ

• jp.ubuntu.com/kubernetes
• microk8s.io
• Kubernetes Slackの#canonical-kubernetesおよび#microk8s
• Discourse
• Matrix