特性门控

本页详述了管理员可以在不同的 Kubernetes 组件上指定的各种特性门控。

关于特性各个阶段的说明,请参见特性阶段

概述

特性门控是描述 Kubernetes 特性的一组键值对。你可以在 Kubernetes 的各个组件中使用 --feature-gates 标志来启用或禁用这些特性。

每个 Kubernetes 组件都支持启用或禁用与该组件相关的一组特性门控。 使用 -h 参数来查看所有组件支持的完整特性门控。 要为诸如 kubelet 之类的组件设置特性门控,请使用 --feature-gates 参数, 并向其传递一个特性设置键值对列表:

--feature-gates=...,GracefulNodeShutdown=true

下表总结了在不同的 Kubernetes 组件上可以设置的特性门控。

  • 引入特性或更改其发布阶段后,"开始(Since)" 列将包含 Kubernetes 版本。
  • "结束(Until)" 列(如果不为空)包含最后一个 Kubernetes 版本,你仍可以在其中使用特性门控。
  • 如果某个特性处于 Alpha 或 Beta 状态,你可以在 Alpha 和 Beta 特性门控表中找到该特性。
  • 如果某个特性处于稳定状态, 你可以在已毕业和废弃特性门控表中找到该特性的所有阶段。
  • 已毕业和废弃特性门控表还列出了废弃的和已被移除的特性。

Alpha 和 Beta 状态的特性门控

处于 Alpha 或 Beta 状态的特性门控
特性 默认值 阶段 自从 直到
AnonymousAuthConfigurableEndpoints false Alpha 1.31
AnyVolumeDataSource false Alpha 1.18 1.23
AnyVolumeDataSource true Beta 1.24
APIResponseCompression false Alpha 1.7 1.15
APIResponseCompression true Beta 1.16
APIServerIdentity false Alpha 1.20 1.25
APIServerIdentity true Beta 1.26
APIServerTracing false Alpha 1.22 1.26
APIServerTracing true Beta 1.27
AuthorizeNodeWithSelectors false Alpha 1.31
AuthorizeWithSelectors false Alpha 1.31
CloudControllerManagerWebhook false Alpha 1.27
ClusterTrustBundle false Alpha 1.27
ClusterTrustBundleProjection false Alpha 1.29
ComponentSLIs false Alpha 1.26 1.26
ComponentSLIs true Beta 1.27
ConcurrentWatchObjectDecode false Beta 1.31
ConsistentListFromCache false Alpha 1.28 1.30
ConsistentListFromCache true Beta 1.31
ContainerCheckpoint false Alpha 1.25 1.29
ContainerCheckpoint true Beta 1.30
ContextualLogging false Alpha 1.24
ContextualLogging true Beta 1.30
CoordinatedLeaderElection false Alpha 1.31
CPUManagerPolicyAlphaOptions false Alpha 1.23
CPUManagerPolicyBetaOptions true Beta 1.23
CPUManagerPolicyOptions false Alpha 1.22 1.22
CPUManagerPolicyOptions true Beta 1.23
CRDValidationRatcheting false Alpha 1.28 1.29
CRDValidationRatcheting true Beta 1.30
CronJobsScheduledAnnotation true Beta 1.28
CrossNamespaceVolumeDataSource false Alpha 1.26
CSIMigrationPortworx false Alpha 1.23 1.24
CSIMigrationPortworx false Beta 1.25 1.30
CSIMigrationPortworx true Beta 1.31
CSIVolumeHealth false Alpha 1.21
CustomCPUCFSQuotaPeriod false Alpha 1.12
CustomResourceFieldSelectors false Alpha 1.30 1.30
CustomResourceFieldSelectors true Beta 1.31
DisableAllocatorDualWrite false Alpha 1.31
DisableNodeKubeProxyVersion false Alpha 1.29 1.30
DisableNodeKubeProxyVersion true Beta 1.31
DRAControlPlaneController false Alpha 1.26
DynamicResourceAllocation false Alpha 1.30
EventedPLEG false Alpha 1.25
GracefulNodeShutdown false Alpha 1.20 1.20
GracefulNodeShutdown true Beta 1.21
GracefulNodeShutdownBasedOnPodPriority false Alpha 1.23 1.23
GracefulNodeShutdownBasedOnPodPriority true Beta 1.24
HonorPVReclaimPolicy false Alpha 1.23 1.30
HonorPVReclaimPolicy true Beta 1.31
HPAScaleToZero false Alpha 1.16
ImageMaximumGCAge false Alpha 1.29 1.29
ImageMaximumGCAge true Beta 1.30
ImageVolume false Alpha 1.31
InPlacePodVerticalScaling false Alpha 1.27
InTreePluginPortworxUnregister false Alpha 1.23
JobBackoffLimitPerIndex false Alpha 1.28 1.28
JobBackoffLimitPerIndex true Beta 1.29
JobManagedBy false Alpha 1.30
JobPodReplacementPolicy false Alpha 1.28 1.28
JobPodReplacementPolicy true Beta 1.29
JobSuccessPolicy false Alpha 1.30 1.30
JobSuccessPolicy true Beta 1.31
KubeletCgroupDriverFromCRI false Alpha 1.28 1.30
KubeletCgroupDriverFromCRI true Beta 1.31
KubeletInUserNamespace false Alpha 1.22
KubeletPodResourcesDynamicResources false Alpha 1.27
KubeletPodResourcesGet false Alpha 1.27
KubeletSeparateDiskGC false Alpha 1.29 1.30
KubeletSeparateDiskGC true Beta 1.31
KubeletTracing false Alpha 1.25 1.26
KubeletTracing true Beta 1.27
LoadBalancerIPMode false Alpha 1.29 1.30
LoadBalancerIPMode true Beta 1.30
LocalStorageCapacityIsolationFSQuotaMonitoring false Alpha 1.15 1.30
LocalStorageCapacityIsolationFSQuotaMonitoring false Beta 1.31
LoggingAlphaOptions false Alpha 1.24
LoggingBetaOptions true Beta 1.24
MatchLabelKeysInPodAffinity false Alpha 1.29 1.30
MatchLabelKeysInPodAffinity true Beta 1.31
MatchLabelKeysInPodTopologySpread false Alpha 1.25 1.26
MatchLabelKeysInPodTopologySpread true Beta 1.27
MaxUnavailableStatefulSet false Alpha 1.24
MemoryManager false Alpha 1.21 1.21
MemoryManager true Beta 1.22
MemoryQoS false Alpha 1.22
MultiCIDRServiceAllocator false Alpha 1.27 1.30
MultiCIDRServiceAllocator false Beta 1.31
MutatingAdmissionPolicy false Alpha 1.30
NFTablesProxyMode false Alpha 1.29 1.30
NFTablesProxyMode true Beta 1.31
NodeInclusionPolicyInPodTopologySpread false Alpha 1.25 1.25
NodeInclusionPolicyInPodTopologySpread true Beta 1.26
NodeLogQuery false Alpha 1.27 1.29
NodeLogQuery false Beta 1.30
NodeSwap false Alpha 1.22 1.27
NodeSwap false Beta 1.28 1.29
NodeSwap true Beta 1.30
OpenAPIEnums false Alpha 1.23 1.23
OpenAPIEnums true Beta 1.24
PodAndContainerStatsFromCRI false Alpha 1.23
PodDeletionCost false Alpha 1.21 1.21
PodDeletionCost true Beta 1.22
PodIndexLabel true Beta 1.28
PodLifecycleSleepAction false Alpha 1.29 1.29
PodLifecycleSleepAction true Beta 1.30
PodReadyToStartContainersCondition false Alpha 1.28 1.28
PodReadyToStartContainersCondition true Beta 1.29
PortForwardWebsockets false Alpha 1.30 1.30
PortForwardWebsockets true Beta 1.31
ProcMountType false Alpha 1.12 1.30
ProcMountType false Beta 1.31
QOSReserved false Alpha 1.11
RecoverVolumeExpansionFailure false Alpha 1.23
RecursiveReadOnlyMounts false Alpha 1.30 1.30
RecursiveReadOnlyMounts true Beta 1.31
RelaxedEnvironmentVariableValidation false Alpha 1.30
ReloadKubeletServerCertificateFile true Beta 1.31
ResilientWatchCacheInitialization true Beta 1.31
ResourceHealthStatus false Alpha 1.31
RetryGenerateName false Alpha 1.30 1.30
RetryGenerateName true Beta 1.31
RotateKubeletServerCertificate false Alpha 1.7 1.11
RotateKubeletServerCertificate true Beta 1.12
RuntimeClassInImageCriApi false Alpha 1.29
SchedulerQueueingHints true Beta 1.28 1.28
SchedulerQueueingHints false Beta 1.29
SELinuxMount false Alpha 1.30
SELinuxMountReadWriteOncePod false Alpha 1.25 1.26
SELinuxMountReadWriteOncePod false Beta 1.27 1.27
SELinuxMountReadWriteOncePod true Beta 1.28
SeparateTaintEvictionController true Beta 1.29
ServiceAccountTokenJTI false Alpha 1.29 1.29
ServiceAccountTokenJTI true Beta 1.30
ServiceAccountTokenNodeBinding false Alpha 1.29 1.30
ServiceAccountTokenNodeBinding true Beta 1.31
ServiceAccountTokenNodeBindingValidation false Alpha 1.29 1.29
ServiceAccountTokenNodeBindingValidation true Beta 1.30
ServiceAccountTokenPodNodeInfo false Alpha 1.29 1.29
ServiceAccountTokenPodNodeInfo true Beta 1.30
ServiceTrafficDistribution false Alpha 1.30 1.30
ServiceTrafficDistribution true Beta 1.31
SidecarContainers false Alpha 1.28 1.28
SidecarContainers true Beta 1.29
SizeMemoryBackedVolumes false Alpha 1.20 1.21
SizeMemoryBackedVolumes true Beta 1.22
StatefulSetAutoDeletePVC false Alpha 1.23 1.26
StatefulSetAutoDeletePVC true Beta 1.27
StorageVersionAPI false Alpha 1.20
StorageVersionHash false Alpha 1.14 1.14
StorageVersionHash true Beta 1.15
StorageVersionMigrator false Alpha 1.30 1.32
StrictCostEnforcementForVAP false Beta 1.31
StrictCostEnforcementForWebhooks false Beta 1.31
StructuredAuthenticationConfiguration false Alpha 1.29 1.29
StructuredAuthenticationConfiguration true Beta 1.30
StructuredAuthorizationConfiguration false Alpha 1.29 1.29
StructuredAuthorizationConfiguration true Beta 1.30
SupplementalGroupsPolicy false Alpha 1.31
TopologyAwareHints false Alpha 1.21 1.22
TopologyAwareHints false Beta 1.23 1.23
TopologyAwareHints true Beta 1.24
TopologyManagerPolicyAlphaOptions false Alpha 1.26
TopologyManagerPolicyBetaOptions false Beta 1.26 1.27
TopologyManagerPolicyBetaOptions true Beta 1.28
TopologyManagerPolicyOptions false Alpha 1.26 1.27
TopologyManagerPolicyOptions true Beta 1.28
TranslateStreamCloseWebsocketRequests true Beta 1.30
UnauthenticatedHTTP2DOSMitigation false Beta 1.28 1.28
UnauthenticatedHTTP2DOSMitigation true Beta 1.29
UnknownVersionInteroperabilityProxy false Alpha 1.28
UserNamespacesPodSecurityStandards false Alpha 1.29
UserNamespacesSupport false Alpha 1.28 1.29
UserNamespacesSupport false Beta 1.30
VolumeAttributesClass false Alpha 1.29 1.30
VolumeAttributesClass false Beta 1.31
VolumeCapacityPriority false Alpha 1.21
WatchCacheInitializationPostStartHook false Beta 1.31
WatchFromStorageWithoutResourceVersion false Beta 1.30
WatchList false Alpha 1.27
WindowsHostNetwork true Alpha 1.26
WinDSR false Alpha 1.14
WinOverlay false Alpha 1.14 1.19
WinOverlay true Beta 1.20

已毕业和已废弃的特性门控

已毕业或已废弃的特性门控
特性 默认值 阶段 自从 直到
AdmissionWebhookMatchConditions false Alpha 1.27 1.27
AdmissionWebhookMatchConditions true Beta 1.28 1.29
AdmissionWebhookMatchConditions true GA 1.30
AggregatedDiscoveryEndpoint false Alpha 1.26 1.26
AggregatedDiscoveryEndpoint true Beta 1.27 1.29
AggregatedDiscoveryEndpoint true GA 1.30
AllowDNSOnlyNodeCSR false 已弃用 1.31
AllowInsecureKubeletCertificateSigningRequests false 已弃用 1.31
AllowServiceLBStatusOnNonLB false 已弃用 1.29
APIListChunking false Alpha 1.8 1.8
APIListChunking true Beta 1.9 1.28
APIListChunking true GA 1.29
AppArmor true Beta 1.4 1.30
AppArmor true GA 1.31
AppArmorFields true Beta 1.30 1.30
AppArmorFields true GA 1.31
CloudDualStackNodeIPs false Alpha 1.27 1.28
CloudDualStackNodeIPs true Beta 1.29 1.29
CloudDualStackNodeIPs true GA 1.30
CPUManager false Alpha 1.8 1.9
CPUManager true Beta 1.10 1.25
CPUManager true GA 1.26
DefaultHostNetworkHostPortsInPodTemplates false 已弃用 1.28
DevicePluginCDIDevices false Alpha 1.28 1.28
DevicePluginCDIDevices true Beta 1.29 1.30
DevicePluginCDIDevices true GA 1.31
DisableCloudProviders false Alpha 1.22 1.28
DisableCloudProviders true Beta 1.29
DisableCloudProviders true GA 1.31
DisableKubeletCloudCredentialProviders false Alpha 1.23 1.28
DisableKubeletCloudCredentialProviders true Beta 1.29 1.30
DisableKubeletCloudCredentialProviders true GA 1.31
EfficientWatchResumption false Alpha 1.20 1.20
EfficientWatchResumption true Beta 1.21 1.23
EfficientWatchResumption true GA 1.24
ElasticIndexedJob true Beta 1.27 1.30
ElasticIndexedJob true GA 1.31
ExecProbeTimeout true GA 1.20
HPAContainerMetrics false Alpha 1.20 1.26
HPAContainerMetrics true Beta 1.27 1.29
HPAContainerMetrics true GA 1.30
JobPodFailurePolicy false Alpha 1.25 1.25
JobPodFailurePolicy true Beta 1.26 1.30
JobPodFailurePolicy true GA 1.31
KMSv1 true 已弃用 1.28 1.28
KMSv1 false 已弃用 1.29
KMSv2 false Alpha 1.25 1.26
KMSv2 true Beta 1.27 1.28
KMSv2 true GA 1.29
KMSv2KDF false Beta 1.28 1.28
KMSv2KDF true GA 1.29
KubeProxyDrainingTerminatingNodes false Alpha 1.28 1.30
KubeProxyDrainingTerminatingNodes true Beta 1.30 1.30
KubeProxyDrainingTerminatingNodes true GA 1.31
LegacyServiceAccountTokenCleanUp false Alpha 1.28 1.28
LegacyServiceAccountTokenCleanUp true Beta 1.29 1.29
LegacyServiceAccountTokenCleanUp true GA 1.30
LogarithmicScaleDown false Alpha 1.21 1.30
LogarithmicScaleDown true GA 1.31
MinDomainsInPodTopologySpread false Alpha 1.24 1.24
MinDomainsInPodTopologySpread false Beta 1.25 1.26
MinDomainsInPodTopologySpread true Beta 1.27 1.29
MinDomainsInPodTopologySpread true GA 1.30
NewVolumeManagerReconstruction false Beta 1.27 1.27
NewVolumeManagerReconstruction true Beta 1.28 1.29
NewVolumeManagerReconstruction true GA 1.30
NodeOutOfServiceVolumeDetach false Alpha 1.24 1.25
NodeOutOfServiceVolumeDetach true Beta 1.26 1.27
NodeOutOfServiceVolumeDetach true GA 1.28
PDBUnhealthyPodEvictionPolicy false Alpha 1.26 1.26
PDBUnhealthyPodEvictionPolicy true Beta 1.27 1.30
PDBUnhealthyPodEvictionPolicy true GA 1.31
PersistentVolumeLastPhaseTransitionTime false Alpha 1.28 1.28
PersistentVolumeLastPhaseTransitionTime true Beta 1.29 1.30
PersistentVolumeLastPhaseTransitionTime true GA 1.31
PodDisruptionConditions false Alpha 1.25 1.25
PodDisruptionConditions true Beta 1.26 1.30
PodDisruptionConditions true GA 1.31
PodHostIPs false Alpha 1.28 1.28
PodHostIPs true Beta 1.29 1.30
PodHostIPs true GA 1.30
PodSchedulingReadiness false Alpha 1.26 1.26
PodSchedulingReadiness true Beta 1.27 1.29
PodSchedulingReadiness true GA 1.30
RemainingItemCount false Alpha 1.15 1.15
RemainingItemCount true Beta 1.16 1.28
RemainingItemCount true GA 1.29
ServerSideApply false Alpha 1.14 1.15
ServerSideApply true Beta 1.16 1.21
ServerSideApply true GA 1.22
ServerSideFieldValidation false Alpha 1.23 1.24
ServerSideFieldValidation true Beta 1.25 1.26
ServerSideFieldValidation true GA 1.27
StableLoadBalancerNodeSet true Beta 1.27 1.29
StableLoadBalancerNodeSet true GA 1.30
StatefulSetStartOrdinal false Alpha 1.26 1.26
StatefulSetStartOrdinal true Beta 1.27 1.30
StatefulSetStartOrdinal true GA 1.31
ValidatingAdmissionPolicy false Alpha 1.26 1.27
ValidatingAdmissionPolicy false Beta 1.28 1.29
ValidatingAdmissionPolicy true GA 1.30
WatchBookmark false Alpha 1.15 1.15
WatchBookmark true Beta 1.16 1.16
WatchBookmark true GA 1.17
ZeroLimitedNominalConcurrencyShares false Beta 1.29 1.29
ZeroLimitedNominalConcurrencyShares true GA 1.30

使用特性

特性阶段

处于 AlphaBetaGA 阶段的特性。

Alpha 特性代表:

  • 默认禁用。
  • 可能有错误,启用此特性可能会导致错误。
  • 随时可能删除对此特性的支持,恕不另行通知。
  • 在以后的软件版本中,API 可能会以不兼容的方式更改,恕不另行通知。
  • 建议将其仅用于短期测试中,因为开启特性会增加错误的风险,并且缺乏长期支持。

Beta 特性代表:

  • 通常默认启用。Beta API 组默认是被禁用的
  • 该特性已经经过良好测试。启用该特性是安全的。
  • 尽管详细信息可能会更改,但不会放弃对整体特性的支持。
  • 对象的架构或语义可能会在随后的 Beta 或稳定版本中以不兼容的方式更改。 当发生这种情况时,我们将提供迁移到下一版本的说明。此特性可能需要删除、编辑和重新创建 API 对象。 编辑过程可能需要慎重操作,因为这可能会导致依赖该特性的应用程序停机。
  • 推荐仅用于非关键业务用途,因为在后续版本中可能会发生不兼容的更改。如果你具有多个可以独立升级的,则可以放宽此限制。

General Availability(GA)特性也称为稳定特性,GA 特性代表着:

  • 此特性会一直启用;你不能禁用它。
  • 不再需要相应的特性门控。
  • 对于许多后续版本,特性的稳定版本将出现在发行的软件中。

特性门控列表

每个特性门控均用于启用或禁用某个特定的特性:

  • AdmissionWebhookMatchConditions:

    在变更性质和合法性检查性质的准入 Webhook 上启用匹配状况

  • AggregatedDiscoveryEndpoint:

    启用单个 HTTP 端点 /discovery/<version>, 支持用 ETag 进行原生 HTTP 缓存,包含 API 服务器已知的所有 APIResource。

  • AllowDNSOnlyNodeCSR:

    允许 kubelet 在不提供节点 IP、仅提供 DNS 名称的情况下请求证书。

  • AllowInsecureKubeletCertificateSigningRequests:

    针对签名者为 kubelet 的 CertificateSigningRequest), 禁用节点准入检查。除非禁用此特性门控, 否则 Kubernetes 会强制要求新的 kubelet 证书的 commonNamesystem:node:$nodeName

  • AllowServiceLBStatusOnNonLB:

    允许对类型为 LoadBalancer 以外的 Service 设置 .status.ingress.loadBalancer

  • AnonymousAuthConfigurableEndpoints:

    允许只对特定 API 服务器端点来配置匿名身份验证/鉴权。

  • AnyVolumeDataSource:

    允许使用任何自定义的资源来作为 PVC 中的 dataSource

  • APIListChunking:

    允许 API 客户端以块的形式从 API 服务器检索(LISTGET)资源。

  • APIResponseCompression:

    压缩 LISTGET 请求的 API 响应。

  • APIServerIdentity:

    使用 Lease(租约)为集群中的每个 API 服务器赋予一个 ID。

  • APIServerTracing:

    在 API 服务器中添加对分布式跟踪的支持。 更多细节参阅针对 Kubernetes 系统组件的追踪

  • AppArmor:

    在 Linux 节点上为 Pod 启用 AppArmor 机制的强制访问控制。 更多细节参阅 AppArmor 教程

  • AppArmorFields:

    启用与 AppArmor 相关的安全上下文设置。

    有关 AppArmor 和 Kubernetes 的更多信息,请阅读 Linux 内核中的安全特性 部分中的 AppArmor 小节。

  • AuthorizeNodeWithSelectors:

    允许节点鉴权器使用细粒度选择算符鉴权。 需要启用 AuthorizeWithSelectors

  • AuthorizeWithSelectors:

    允许授权使用字段和标签选择算符。 启用 SubjectAccessReview API 中的 fieldSelectorlabelSelector 字段, 将字段和标签选择算符信息传递给授权 Webhook, 启用授权程序 CEL 库中的 fieldSelectorlabelSelector 特性, 并允许在授权 Webhook matchConditions 中检查 fieldSelectorlabelSelector 字段。

  • CloudControllerManagerWebhook:

    启用在云控制器管理器中的 Webhook。

  • CloudDualStackNodeIPs:

    允许在外部云驱动中通过 kubelet --node-ip 设置双协议栈。 有关更多详细信息,请参阅配置 IPv4/IPv6 双栈

  • ClusterTrustBundle:

    启用 ClusterTrustBundle 对象和 kubelet 集成。

  • ClusterTrustBundleProjection:

    clusterTrustBundle 投射卷源

  • ComponentSLIs:

    在 kubelet、kube-scheduler、kube-proxy、kube-controller-manager、cloud-controller-manager 等 Kubernetes 组件上启用 /metrics/slis 端点,从而允许你抓取健康检查指标。

  • ConcurrentWatchObjectDecode:

    启用并发监视对象解码。目的是避免在安装了转换 Webhook 时造成 API 服务器的监视缓存内容不足。

  • ConsistentListFromCache:

    通过直接使用监视缓存来为 list 请求提供一致性的数据,提升 Kubernetes API 服务器的性能, 从而改善可扩展性和响应时间。为了从缓存获取一致的列表,Kubernetes 需要使用较新的 Etcd 版本(v3.4.31+ 或 v3.5.13+),这些版本包含了对监视进度请求特性的修复。 如果使用较旧的 Etcd 版本,Kubernetes 会自动检测到并回退到从 Etcd 提供一致的读取操作。 进度通知能够确保监视缓存与 Etcd 保持一致,同时减少对 Etcd 进行资源密集型仲裁读取的需求。

    更多细节请参阅 Kubernetes 文档 getlist 语义

  • ContainerCheckpoint:

    启用 kubelet checkpoint API。 详情见 Kubelet Checkpoint API

  • ContextualLogging:

    在支持上下文日志记录的 Kubernetes 组件的日志输出中启用额外的详细信息。

  • CoordinatedLeaderElection:

    启用支持 LeaseCandidate API 的行为,并且以确定性的方式为 Kubernetes 控制平面启用协调领导者选举。

  • CPUManager:

    启用容器级别的 CPU 亲和性支持,有关更多详细信息,请参见 CPU 管理策略

  • CPUManagerPolicyAlphaOptions:

    允许对 CPU 管理器策略进行微调,针对试验性的、Alpha 质量级别的选项。 此特性门控用来保护一组质量级别为 Alpha 的 CPU 管理器选项。 此特性门控永远不会被升级为 Beta 或者稳定版本。

  • CPUManagerPolicyBetaOptions:

    允许对 CPU 管理器策略进行微调,针对试验性的、Beta 质量级别的选项。 此特性门控用来保护一组质量级别为 Beta 的 CPU 管理器选项。 此特性门控永远不会被升级为稳定版本。

  • CPUManagerPolicyOptions:

    允许微调 CPU 管理器策略。

  • CRDValidationRatcheting:

    如果资源更新的冲突部分未发生变化,则启用对自定义资源的更新以包含对 OpenAPI 模式的违规条目。 详情参见验证递进

  • CronJobsScheduledAnnotation:

    将调度作业的时间设置为代表 CronJob 创建的作业上的一个 注解

  • CrossNamespaceVolumeDataSource:

    启用跨名字空间卷数据源,以允许你在 PersistentVolumeClaim 的 dataSourceRef 字段中指定一个源名字空间。

  • CSIMigrationPortworx:

    启用封装和转换逻辑,将卷操作从 Portworx 内嵌插件路由到 Portworx CSI 插件。需要在集群中安装并配置 Portworx CSI 插件.

  • CSIVolumeHealth:

    启用对节点上的 CSI 卷运行状况监控的支持。

  • CustomCPUCFSQuotaPeriod:

    使节点能够更改 kubelet 配置 中的 cpuCFSQuotaPeriod

  • CustomResourceFieldSelectors:

    CustomResourceDefinition API 中启用 selectableFields,以针对 listwatchdeletecollection 请求过滤自定义资源。

  • DefaultHostNetworkHostPortsInPodTemplates:

    此特性门控将控制何时为使用 hostNetwork: true 的 Pod 设置 .spec.containers[*].ports[*].hostPort 默认值。

    启用此特性意味着默认值甚至会分配给嵌入式 PodTemplate(例如,Deployment) 的 .spec,这是 Kubernetes 旧版本的工作方式。 你应该迁移你的代码,使其不再依赖于原先的行为。

  • DevicePluginCDIDevices:

    启用设备插件 API 对 CDI 设备 ID 的支持。

  • DisableAllocatorDualWrite:

    你可以启用 MultiCIDRServiceAllocator 特性门控。API 服务器支持从旧的位图 ClusterIP 分配器迁移到新的 IPAddress 分配器。

    API 服务器会在两个分配器上执行双重写入。此特性门控用于禁用对 ClusterIP 分配器的多余写入;如果你已经完成了机制迁移的重要阶段,可以启用此特性门控。

  • DisableCloudProviders:

    启用此特性门控会取消新激活 kube-apiserverkube-controller-managerkubelet 中与 --cloud-provider 命令行参数相关的功能。

    在 Kubernetes v1.31 及更高版本中,--cloud-provider 的唯一有效值为空字符串(没有云驱动集成组件)或 "external"(通过独立的 cloud-controller-manager 进行集成)。

  • DisableKubeletCloudCredentialProviders:

    启用此特性门控将停用 kubelet 中旧版的树内功能, 该功能原本允许 kubelet 对云提供商的容器仓库进行身份验证以拉取容器镜像。

  • DisableNodeKubeProxyVersion:

    禁止设置 Node 的 kubeProxyVersion 字段。

  • DRAControlPlaneController:

    允许资源使用自定义参数,具有独立于 Pod 的生命周期。 资源的分配由资源驱动的控制平面控制器处理。

  • DynamicResourceAllocation:

    启用对具有自定义参数和独立于 Pod 生命周期的资源的支持。 资源的分配由 Kubernetes 调度器根据“结构化参数”进行处理。

  • EfficientWatchResumption:

    允许将存储发起的书签(进度通知)事件传递给用户。这仅适用于 watch(监视)操作。

  • ElasticIndexedJob:

    允许通过同时改变 spec.completionsspec.parallelism 使得 spec.completions == spec.parallelism 来对带索引的 Job 执行扩容或缩容。 更多细节请参阅弹性索引 Job 文档。

  • EventedPLEG:

    启用此特性后,kubelet 能够通过 CRI 扩展从容器运行时接收容器生命周期事件。 (PLEG 是 “Pod lifecycle event generator” 的缩写,即 Pod 生命周期事件生成器)。 要使用此特性,你还需要在集群中运行的每个容器运行时中启用对容器生命周期事件的支持。 如果容器运行时未宣布支持容器生命周期事件,即使你已启用了此特性门控, kubelet 也会自动切换到原有的通用 PLEG 机制。

  • ExecProbeTimeout:

    确保 kubelet 会遵从 exec 探针的超时值设置。 此特性门控的主要目的是方便你处理现有的、依赖于已被修复的缺陷的工作负载; 该缺陷导致 Kubernetes 会忽略 exec 探针的超时值设置。 参阅就绪态探针.

  • GracefulNodeShutdown:

    在 kubelet 中启用体面地关闭节点的支持。 在系统关闭时,kubelet 会尝试监测该事件并体面地终止节点上运行的 Pod。 参阅体面地关闭节点以了解更多细节。

  • GracefulNodeShutdownBasedOnPodPriority:

    允许 kubelet 在体面终止节点时检查 Pod 的优先级。

  • HonorPVReclaimPolicy:

    无论 PV 和 PVC 的删除顺序如何,当持久卷回收策略为 Delete 时都要遵守该策略。更多细节参阅 PersistentVolume 删除保护终结器文档。

  • HPAContainerMetrics:

    允许 HorizontalPodAutoscalers 基于目标 Pod 中单个容器的指标进行扩缩。

  • HPAScaleToZero:

    使用自定义指标或外部指标时,可将 HorizontalPodAutoscaler 资源的 minReplicas 设置为 0。

  • ImageMaximumGCAge:

    启用 kubelet 配置字段 imageMaximumGCAge,允许管理员指定多久之后镜像将被垃圾收集。

  • ImageVolume:

    允许在 Pod 中使用 image 卷源。 这个卷源允许你将容器镜像挂载为只读卷。

  • InPlacePodVerticalScaling:

    启用就地 Pod 垂直扩缩。

  • InTreePluginPortworxUnregister:

    在 kubelet 和卷控制器上关闭注册 Portworx 内嵌插件。

  • JobBackoffLimitPerIndex:

    允许在索引作业中指定每个索引的最大 Pod 重试次数。

  • JobManagedBy:

    允许将 Job 对象的调和委托给外部控制器。

  • JobPodFailurePolicy:

    允许用户根据容器退出码和 Pod 状况来指定 Pod 失效的处理方法。

  • JobPodReplacementPolicy:

    允许你在 Job 中为终止的 Pod 指定替代 Pod。

  • JobSuccessPolicy:

    允许用户基于一组成功的 Pod 来声明这组 Pod 所属的 Job 为成功。

  • KMSv1:

    启用 KMS v1 API 以实现静态加密。 详情参见使用 KMS 驱动进行数据加密

  • KMSv2:

    启用 KMS v2 API 以实现静态加密。 详情参见使用 KMS 驱动进行数据加密

  • KMSv2KDF:

    启用 KMS v2 以生成一次性数据加密密钥。 详情参见使用 KMS 驱动进行数据加密。 如果 KMSv2 特性门控在你的集群未被启用,则 KMSv2KDF 特性门控的值不会产生任何影响。

  • KubeletCgroupDriverFromCRI:

    启用检测来自 CRI 的 kubelet cgroup 驱动配置选项。你可以在支持该特性门控的 kubelet 节点上使用此特性门控, 也可以在支持 RuntimeConfig CRI 调用的 CRI 容器运行时所在节点上使用此特性门控。 如果 CRI 和 kubelet 都支持此特性,kubelet 将忽略 cgroupDriver 配置设置(或已弃用的 --cgroup-driver 命令行参数)。 如果你启用此特性门控但容器运行时不支持它,则 kubelet 将回退到使用通过 cgroupDriver 配置设置进行配置的驱动。 详情参见配置 cgroup 驱动

  • KubeletInUserNamespace:

    支持在用户名字空间里运行 kubelet。 请参见以非 root 用户身份运行 Kubernetes 节点组件

  • KubeletPodResourcesDynamicResources:

    扩展 kubelet 的 Pod 资源 gRPC 端点以包括通过 DynamicResourceAllocation API 在 ResourceClaims 中分配的资源。 详情参见资源分配报告。 包含有关可分配资源的信息,使客户端能够正确跟踪节点上的可用计算资源。

  • KubeletPodResourcesGet:

    在 kubelet 上为 Pod 资源启用 Get gRPC 端点。 此 API 增强了资源分配报告

  • KubeletSeparateDiskGC:

    分离镜像文件系统特性使 kubelet 能够对部署在不同文件系统上的镜像(只读层)和/或容器(可写层)执行垃圾回收。

  • KubeletTracing:

    新增在 kubelet 中对分布式追踪的支持。 启用时,kubelet CRI 接口和经身份验证的 http 服务器被插桩以生成 OpenTelemetry 追踪 span。 详情参见追踪 Kubernetes 系统组件

  • KubeProxyDrainingTerminatingNodes:

    externalTrafficPolicy: Cluster 服务实现终止节点的连接排空。

  • LegacyServiceAccountTokenCleanUp:

    当服务账号令牌在指定时间内(默认为一年)未被使用时, 允许基于 Secret 清理服务账号令牌

  • LoadBalancerIPMode:

    当 Service 的 typeLoadBalancer 时,可设置该 Service 的 ipMode。 更多细节请参阅指定负载均衡器状态的 IPMode

  • LocalStorageCapacityIsolationFSQuotaMonitoring:

    如果本地临时存储启用了 LocalStorageCapacityIsolation,并且 emptyDir 卷所使用的文件系统支持项目配额, 并且已启用 UserNamespacesSupport, 系统将使用项目配额来监控 emptyDir 卷的存储使用情况,而不是通过文件系统遍历来实现, 从而确保更好的性能和准确性。

  • LogarithmicScaleDown:

    启用 Pod 的半随机选择,控制器将根据 Pod 时间戳的对数桶按比例缩小来驱逐 Pod。

  • LoggingAlphaOptions:

    允许微调实验性的、Alpha 级别的日志选项。

  • LoggingBetaOptions:

    允许微调实验性的、Beta 级别的日志选项。

  • MatchLabelKeysInPodAffinity:

    Pod(反)亲和性启用 matchLabelKeysmismatchLabelKeys 字段。

  • MatchLabelKeysInPodTopologySpread:

    Pod 拓扑分布约束启用 matchLabelKeys 字段。

  • MaxUnavailableStatefulSet:

    允许为 StatefulSet 的滚动更新策略设置 maxUnavailable 字段。此字段指定更新过程中不可用 Pod 个数的上限。

  • MemoryManager:

    允许基于 NUMA 拓扑为容器设置内存亲和性。

  • MemoryQoS:

    使用 cgroup v2 内存控制器为 Pod 或容器启用内存保护和使用限制。

  • MinDomainsInPodTopologySpread:

    Pod 拓扑分布约束中启用 minDomains

  • MultiCIDRServiceAllocator:

    使用 IPAddress 对象跟踪为 Service 的集群 IP 分配的 IP 地址。

  • MutatingAdmissionPolicy:

    在 Kubernetes 1.32 中,此特性门控没有效果。 Kubernetes 的未来版本可能会使用此特性门控在准入链中启用 MutatingAdmissionPolicy。

  • NewVolumeManagerReconstruction:

    在 kubelet 启动期间启用改进的挂载卷的发现。由于关联的代码已经进行了重大重构, Kubernetes v1.25 到 v1.29 允许你不采用这一逻辑,以免 kubelet 在启动时被卡住,或者未能为已终止的 Pod 卸载卷。 请注意,此重构是作为 Kubernetes 1.25 中的 SELinuxMountReadWriteOncePod Alpha 特性门控的一部分完成的。

    在 Kubernetes v1.25 和 v1.26 中,此重构行为是 SELinuxMountReadWriteOncePod 特性门控的一部分。

  • NFTablesProxyMode:

    允许在 nftables 模式下运行 kube-proxy。

  • NodeInclusionPolicyInPodTopologySpread:

    在计算 Pod 拓扑分布偏差时允许在 Pod 拓扑分布约束中使用 nodeAffinityPolicynodeTaintsPolicy

  • NodeLogQuery:

    允许使用 /logs 端点来查询节点服务的日志。

  • NodeOutOfServiceVolumeDetach:

    当使用 node.kubernetes.io/out-of-service 污点将节点标记为无法提供服务时,节点上不能容忍这个污点的 Pod 将被强制删除, 并且针对此节点上被终止的 Pod 将立即执行解除卷挂接操作。 被删除的 Pod 可以很快在不同的节点上恢复。

  • NodeSwap:

    允许 kubelet 为节点上的 Kubernetes 工作负载分配交换内存。 必须将 KubeletConfiguration.failSwapOn 设置为 false 才能使用此能力。 更多细节请参见交换内存

  • OpenAPIEnums:

    允许在从 API 服务器返回的 spec 中填充 OpenAPI 模式的 "enum" 字段。

  • PDBUnhealthyPodEvictionPolicy:

    启用 PodDisruptionBudgetunhealthyPodEvictionPolicy 字段。 此字段指定何时应考虑驱逐不健康的 Pod。 更多细节请参阅不健康 Pod 驱逐策略

  • PersistentVolumeLastPhaseTransitionTime:

    为 PersistentVolume 添加一个新字段,用于保存卷上一次转换阶段的时间戳。

  • PodAndContainerStatsFromCRI:

    将 kubelet 配置为从 CRI 容器运行时收集容器和 Pod 的统计信息,而不是从 cAdvisor 收集统计信息。 从 1.26 版本开始,这还包括从 CRI 收集指标并通过 /metrics/cadvisor 进行发布(而不是直接由 cAdvisor 发布)。

  • PodDeletionCost:

    启用 Pod 删除开销特性, 允许用户影响 ReplicaSet 的缩容顺序。

  • PodDisruptionConditions:

    启用支持追加一个专用的 Pod 状况,以表示 Pod 由于某个干扰正在被删除。

  • PodHostIPs:

    为 Pod 和 downward API 启用 status.hostIPs 字段。此字段允许你将主机 IP 地址暴露给工作负载。

  • PodIndexLabel:

    在创建新的 Pod 时允许 Job 控制器和 StatefulSet 控制器将 Pod 索引添加为标签。 详情参见 Job 完成模式文档StatefulSet Pod 索引标签文档

  • PodLifecycleSleepAction:

    在 Container 生命周期钩子中启用 sleep 操作。

  • PodReadyToStartContainersCondition:

    使得 kubelet 能在 Pod 上标记 PodReadyToStartContainers 状况。

    此特性门控先前称为 PodHasNetworkCondition,关联的状况称为 PodHasNetwork

  • PodSchedulingReadiness:

    允许设置 schedulingGates 字段以控制 Pod 的调度就绪状态

  • PortForwardWebsockets:

    允许从请求 v2 子协议(v2.portforward.k8s.io)的客户端通过 portforward 子协议 (port-forward)执行 WebSocket 流式传输。

  • ProcMountType:

    允许容器通过设置 Pod 的 securityContextprocMount 字段来控制对 proc 类型的挂载方式。

  • QOSReserved:

    允许在 QoS 层面预留资源,避免低 QoS 级别的 Pod 占用高 QoS 级别所请求的资源(当前只适用于内存)。

  • RecoverVolumeExpansionFailure:

    允许用户编辑自己的 PVC 来缩容,以便从之前卷扩容引发的失败中恢复。 更多细节可参见处理扩充卷过程中的失败

  • RecursiveReadOnlyMounts:

    启用对递归只读挂载的支持。 更多细节参阅只读挂载

  • RelaxedEnvironmentVariableValidation:

    允许在环境变量中使用几乎所有可打印的 ASCII 字符。

  • ReloadKubeletServerCertificateFile:

    允许 kubelet TLS 服务器在指定的证书文件发生变化时更新其证书。

    此特性在 kubelet 配置中指定了 tlsCertFiletlsPrivateKeyFile 时非常有用。 对于其他情况,例如使用 TLS 引导启动时,此特性门控无效。

  • RemainingItemCount:

    允许 API 服务器在分块列表请求 的响应中显示剩余条目的个数。

  • ResilientWatchCacheInitialization:

    启用弹性的监视缓存(WatchCache)初始化,以避免控制平面的过载。

  • ResourceHealthStatus:

    在 Pod 的 .status 中启用 allocatedResourcesStatus 字段。 此字段报告 Pod 中每个容器的额外细节,包括分配给 Pod 的每个设备的健康信息。有关更多细节, 请参见设备插件与不健康设备

  • RetryGenerateName:

    API 服务器要生成名称时, 允许重试对象创建。当此特性被启用时,如果控制平面检测到与某个现有对象存在名称冲突, 则使用 generateName 的请求将被自动重试,最多重试 8 次。

  • RotateKubeletServerCertificate:

    启用 kubelet 上服务器 TLS 证书的轮换。 更多细节参阅 kubelet 配置

  • RuntimeClassInImageCriApi:

    允许基于 Pod 所引用的运行时类来拉取镜像。

  • SchedulerQueueingHints:

    启用调度器的排队提示增强功能, 有助于减少无效的重新排队。 调度器会在集群中发生可能导致 Pod 被重新调度的变化时,尝试重新进行 Pod 的调度。 排队提示是一些内部信号, 用于帮助调度器基于先前的调度尝试来筛选集群中与未调度的 Pod 相关的变化。

  • SELinuxMount:

    允许 kubelet 直接使用正确的 SELinux 标签为 Pod 挂载卷,而不是以递归方式更改卷上的每个文件,进而加快容器的启动速度。 这一变更拓宽了针对 SELinuxMountReadWriteOncePod 特性门控所作的性能改进,将其对应的实现扩展到覆盖所有卷。

    想要启用 SELinuxMount 特性门控,需先启用 SELinuxMountReadWriteOncePod 特性门控。

  • SELinuxMountReadWriteOncePod:

    通过允许 kubelet 直接用正确的 SELinux 标签为 Pod 挂载卷而不是以递归方式更改这些卷上的每个文件来加速容器启动。 最初的实现侧重 ReadWriteOncePod 卷。

  • SeparateTaintEvictionController:

    允许运行 TaintEvictionController,该控制器可在 NodeLifecycleController 之外执行基于污点的驱逐。 此特性启用时,用户可以在 kube-controller-manager 上设置 --controllers=-taint-eviction-controller 标志, 可选择禁用基于污点的驱逐。

  • ServerSideApply:

    在 API 服务器上启用服务器端应用(SSA)

  • ServerSideFieldValidation:

    启用服务器端字段验证。这意味着资源模式的验证发生在 API 服务器端而不是客户端 (例如,kubectl createkubectl apply 命令行)。

  • ServiceAccountTokenJTI:

    控制是否将 JTI(UUID)嵌入到生成的服务账号令牌中, 以及对于这些令牌未来的请求,是否将这些 JTI 记录到 Kubernetes 审计日志中。

  • ServiceAccountTokenNodeBinding:

    控制 API 服务器是否允许将服务账号令牌绑定到 Node 对象。

  • ServiceAccountTokenNodeBindingValidation:

    控制 API 服务器是否会验证服务账号令牌中的 Node 引用。

  • ServiceAccountTokenPodNodeInfo:

    控制 API 服务器在颁发绑定到 Pod 对象的服务账号令牌时, 是否嵌入关联 Node 的名称和 uid

  • ServiceTrafficDistribution:

    允许在 Service 中使用可选的 spec.trafficDistribution 字段。 此字段提供了一种对 Service 端点进行流量分发的偏好的表达方式。

  • SidecarContainers:

    允许将 Init 容器的 restartPolicy 设置为 Always, 以便该容器成为一个边车容器(可重启的 Init 容器)。 详情参见边车容器和 restartPolicy

  • SizeMemoryBackedVolumes:

    允许 kubelet 检查基于内存制备的卷的尺寸约束(目前主要针对 emptyDir 卷)。

  • StableLoadBalancerNodeSet:

    允许服务控制器(KCCM)减少根据节点状态变化来对负载均衡器作重新配置的操作。

  • StatefulSetAutoDeletePVC:

    允许使用可选字段 .spec.persistentVolumeClaimRetentionPolicy, 以便根据 StatefulSet 的生命周期来控制 PVC 的删除。 详情参见 PersistentVolumeClaim 保留

  • StatefulSetStartOrdinal:

    允许在 StatefulSet 中配置起始序号。 详情参见起始序号

  • StorageVersionAPI:

    启用存储版本 API

  • StorageVersionHash:

    允许 API 服务器在版本发现中公开存储版本的哈希值。

  • StorageVersionMigrator:

    启用存储版本迁移机制。 有关细节参阅使用存储版本迁移功能来迁移 Kubernetes 对象

  • StrictCostEnforcementForVAP:

    对 ValidatingAdmissionPolicy 应用严格的 CEL 开销验证。

  • StrictCostEnforcementForWebhooks:

    在准入 Webhook 内对 matchConditions 应用严格的 CEL 开销验证。

  • StructuredAuthenticationConfiguration:

    为 API 服务器启用结构化身份验证配置

  • StructuredAuthorizationConfiguration:

    启用结构化授权配置,以便集群管理员可以在 API 服务器处理程序链中指定多个授权 Webhook

  • SupplementalGroupsPolicy:

    启用对细粒度 SupplementalGroups 控制的支持。 有关细节请参见为 Pod 配置细粒度 SupplementalGroups 控制

  • TopologyAwareHints:

    在 EndpointSlice 中启用基于拓扑提示的拓扑感知路由。 更多细节参见拓扑感知路由

  • TopologyManagerPolicyAlphaOptions:

    启用拓扑管理器策略的微调。 允许微调拓扑管理器策略的实验性的、Alpha 质量的选项。 此特性门控守护一组质量级别为 Alpha 的拓扑管理器选项。 此特性门控绝对不会进阶至 Beta 或稳定版。

  • TopologyManagerPolicyBetaOptions:

    允许微调拓扑管理器策略的实验性的、Beta 质量的选项。 此特性门控守护一组质量级别为 Beta 的拓扑管理器选项。 此特性门控绝对不会进阶至稳定版。

  • TopologyManagerPolicyOptions:

    启用拓扑管理器策略的微调

  • TranslateStreamCloseWebsocketRequests:

    允许从请求 v5 子协议版本的客户端处通过 WebSocket 流式传输远程命令子协议(execcpattach)。

  • UnauthenticatedHTTP2DOSMitigation:

    启用了针对未认证客户端的 HTTP/2 拒绝服务(DoS)防护措施。 Kubernetes v1.28.0 至 v1.28.2 版本并未包括这项特性门控。

  • UnknownVersionInteroperabilityProxy:

    当存在多个不同版本的 kube-apiserver 时,将资源请求代理到正确的对等 kube-apiserver。 更多信息请参见混合版本代理

  • UserNamespacesPodSecurityStandards:

    启用 Pod 安全标准策略的放宽措施,适用于在命名空间中运行的 Pod。 你需要在集群的所有节点上统一设置此特性门控,并且必须启用 UserNamespacesSupport 才能使用此功能。

  • UserNamespacesSupport:

    为 Pod 启用用户命名空间支持。

  • ValidatingAdmissionPolicy:

    在准入控制中启用 ValidatingAdmissionPolicy 以支持 CEL 合法性检查。

  • VolumeAttributesClass:

    启用对 VolumeAttributesClasses 的支持。 更多细节参见卷属性类

  • VolumeCapacityPriority:

    启用基于可用 PV 容量对不同拓扑域下节点进行优先级排序的支持。

  • WatchBookmark:

    启用对监听书签事件的支持。

  • WatchCacheInitializationPostStartHook:

    启用监视缓存(WatchCache)初始化的 post-start-hook,使之成为就绪态端点(readyz)的考察条件(带超时)。

  • WatchFromStorageWithoutResourceVersion:

    允许在没有 resourceVersion 的情况下基于存储提供监视服务。

  • WatchList:

    启用对监听请求中流式传输对象初始状态的支持。

  • WindowsHostNetwork:

    启用对 Windows 容器接入主机网络名字空间的支持。

  • WinDSR:

    允许 kube-proxy 为 Windows 创建 DSR(Direct Server Return,直接服务器返回)负载均衡器。

  • WinOverlay:

    允许 kube-proxy 以覆盖模式在 Windows 上运行。

  • ZeroLimitedNominalConcurrencyShares:

    允许 API 服务器中的优先级和公平性使用 limited 部分的 nominalConcurrencyShares 字段的零值作为优先级。

接下来

  • Kubernetes 的弃用策略介绍了项目针对已移除特性和组件的处理方法。
  • 从 Kubernetes 1.24 开始,默认不启用新的 Beta API。 启用 Beta 功能时,还需要启用所有关联的 API 资源。 例如:要启用一个特定资源,如 storage.k8s.io/v1beta1/csistoragecapacities, 请设置 --runtime-config=storage.k8s.io/v1beta1/csistoragecapacities。 有关命令行标志的更多详细信息,请参阅 API 版本控制
最后修改 December 29, 2023 at 9:14 AM PST: [zh] Sync feature-gates/index.md (541d08cc0d)