このページの改善にご協力ください
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。
延長サポートの Kubernetes バージョンに関するリリースノートを確認する
Amazon EKS は、アップストリームでサポートされているよりも長く Kubernetes バージョンをサポートしており、Amazon EKS でリリースされてから 14 か月間は Kubernetes マイナーバージョンの標準サポートと、さらに 12 か月間のサポート (バージョンごとに合計 26 か月) は Kubernetes マイナーバージョンの拡張サポートを提供します。
このトピックでは延長サポートにおいて各 Kubernetes バージョンで注意すべき重要な変更点を説明します。アップグレードするときはクラスターの古いバージョンと新しいバージョン間で発生した変更を注意深く確認してください。
Kubernetes 1.29
Amazon EKS で Kubernetes 1.29 が利用可能になりました。Kubernetes1.29 の詳細については、公式リリースのお知らせ
重要
-
FlowSchemaとPriorityLevelConfigurationの非推奨のflowcontrol.apiserver.k8s.io/v1beta2API バージョンは、Kubernetes バージョン1.29では提供されなくなりました。非推奨のベータ API グループを使用するマニフェストやクライアントソフトウェアがある場合は、バージョン1.29にアップグレードする前にこれらを変更する必要があります。
-
ノードオブジェクトの
.status.kubeProxyVersionフィールドは非推奨となり、Kubernetes プロジェクトでは今後のリリースでそのフィールドを削除することが提案されています。非推奨のフィールドは正確ではなく、従来はkubeletによって管理されていましたが、実際にはkube-proxyバージョンを認識できず、kube-proxyが実行されているかどうかも判別できませんでした。クライアントソフトウェアでこのフィールドを使用している場合は停止してください。かかるフィールドの情報に信頼性はなく、現在は非推奨です。 -
Kubernetes
1.29で潜在的なアタックサーフェスを減らすため、LegacyServiceAccountTokenCleanUp機能は以前に自動生成されたものの長期間 (デフォルトでは 1 年) 使用されていないシークレットベースのトークンに無効のラベルを付け、そのラベルが付いてからさらに長期間使用が試みられなかった場合は自動的に削除します (デフォルトではその後 1 年)。このようなトークンを識別するには以下を実行してください。kubectl get cm kube-apiserver-legacy-service-account-token-tracking -n kube-system
Kubernetes 1.29 の変更ログの詳細については、「https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.29.md#changelog-since-v1280
Kubernetes 1.28
Amazon EKS で Kubernetes 1.28 が利用可能になりました。Kubernetes1.28 の詳細については、公式リリースのお知らせ
-
Kubernetes
v1.28により、n-2からn-3へ、1 つのマイナーバージョンごとのコアノードとコントロールプレーンコンポーネントの間でサポートされるスキューが拡張されました。これにより、サポートされている最も古いマイナーバージョンのノードコンポーネント (kubeletおよびkube-proxy) が、サポートされている最新のマイナーバージョンのコントロールプレーンコンポーネント (kube-apiserver、kube-scheduler、kube-controller-manager、cloud-controller-manager) と連携できるようになりました。 -
Pod GC Controllerにあるメトリクスforce_delete_pods_totalおよびforce_delete_pod_errors_totalはポッドの強制削除をすべて考慮するよう拡張されました。ポッドが強制的に削除される理由が、ポッドが終了しているのか、孤立しているのか、サービス外テイントで終了しているのか、あるいは終了してスケジュールされていないのかを示す理由がメトリックに追加されます。 -
PersistentVolume (PV)コントローラーはstorageClassNameが設定されておらずバインドされていないPersistentVolumeClaimにデフォルトのStorageClassを自動的に割り当てるように変更されました。さらに、API サーバー内のPersistentVolumeClaimアドミッション検証メカニズムが調整され、値が未設定の状態から実際のStorageClass名に変更できるようになりました。
Kubernetes 1.28の変更ログの詳細については、「https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.28.md#changelog-since-v1270
Kubernetes 1.27
Amazon EKS で Kubernetes 1.27 が利用可能になりました。Kubernetes1.27 の詳細については、公式リリースのお知らせ
重要
-
アルファ
seccompアノテーションseccomp.security.alpha.kubernetes.io/podとcontainer.seccomp.security.alpha.kubernetes.ioアノテーションのサポートは削除されました。アルファseccompアノテーションは1.19で非推奨となり、1.27で削除されたことで、seccompアノテーションを持つPodsにseccompフィールドが自動的に入力されなくなります。代わりに、PodsまたはコンテナのsecurityContext.seccompProfileフィールドを使用してseccompプロファイルを構成してください。クラスターで非推奨のアルファseccompアノテーションを使用しているかどうかを確認するには次のコマンドを実行してください。kubectl get pods --all-namespaces -o json | grep -E 'seccomp.security.alpha.kubernetes.io/pod|container.seccomp.security.alpha.kubernetes.io' -
kubeletの--container-runtimeコマンドライン引数が削除されました。1.24以降、Amazon EKS のデフォルトのコンテナランタイムがcontainerdとなっており、これによりコンテナランタイムを指定する必要がなくなりました。1.27以降、Amazon EKS はブートストラップスクリプトに渡された--container-runtime引数を無視します。ノードのブートストラッププロセス中のエラーを防ぐために、この引数を--kubelet-extra-argsに渡さないことが重要です。すべてのノード作成ワークフローとビルドスクリプトから--container-runtime引数を削除する必要があります。
-
Kubernetes
1.27のkubeletは、デフォルトのkubeAPIQPSを50に、kubeAPIBurstを100に増やしました。これらの機能強化により、kubeletがより大量の API クエリを処理できるようになり、応答時間とパフォーマンスが向上します。 スケーリング要件により、Podsに対する需要が増加した場合、修正されたデフォルト値により、kubeletは増加したワークロードを効率的に管理できるようになります。その結果、Podの起動が速くなり、クラスター操作がより効率的になります。 -
よりきめ細かい
Podトポロジを使用して、minDomainなどのポリシーを分散できます。このパラメータにより、Podsを分散させる必要のあるドメインの最小数を指定できます。nodeAffinityPolicyおよびnodeTaintPolicyを使用することで、Podの分散を管理する際の粒度をさらに細かくすることができます。これはノードのアフィニティ、テイント、Pod’s仕様のtopologySpreadConstraintsのmatchLabelKeysフィールドによって異なります。これにより、ローリングアップグレード後の分散計算のためにPodsを選択できます。 -
Kubernetes
StatefulSetsでは、そのPersistentVolumeClaims(PVCs) の存続期間を制御する1.27の新しいポリシーメカニズムがベータ版に昇格しました。新しいPVCリテンションポリシーではStatefulSetが削除されたとき、またはStatefulSet内のレプリカがスケールダウンされたときに、StatefulSetスペックテンプレートから生成されたPVCsを自動的に削除するか、保持するかを指定できます。 -
Kubernetes API サーバーの goaway-chance
オプションを使用すると、接続がランダムに閉じることで、 HTTP/2クライアント接続が単一の API サーバーインスタンスにスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン1.27ではgoaway-chanceフラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAYと互換性のないクライアントが使用されている場合は接続終了時に再接続することで GOAWAYを処理できるようにクライアントを更新することをお勧めします。
Kubernetes 1.27 の変更ログの詳細については、「https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.27.md#changelog-since-v1260
Kubernetes 1.26
Amazon EKS で Kubernetes 1.26 が利用可能になりました。Kubernetes1.26 の詳細については、公式リリースのお知らせ
重要
Kubernetes 1.26 では、CRI v1alpha2 をサポートしなくなりました。この結果、コンテナランタイムが CRI v1 をサポートしていない場合、kubelet はノードを登録しなくなります。つまり、Kubernetes 1.26 が containerd のマイナーバージョン 1.5 以前のバージョンをサポートしていないということでもあります。containerd を使用している場合は、ノードを Kubernetes 1.26 にアップグレードする前に containerd をバージョン 1.6.0 以降にアップグレードする必要があります。また、v1alpha2 のみをサポートする他のコンテナランタイムもアップグレードする必要があります。詳細についてはコンテナランタイムベンダーにお問い合わせください。Amazon Linux と Bottlerocket の AMI にデフォルトで含まれる containerd のバージョンは 1.6.6 です。
-
Kubernetes
1.26にアップグレードする前に、Amazon VPC CNI plugin for Kubernetes をバージョン1.12以降にアップグレードしてください。Amazon VPC CNI plugin for Kubernetes をバージョン1.12以降にアップグレードしないと、Amazon VPC CNI plugin for Kubernetes はクラッシュします。詳細については、「Amazon VPC CNI を使用して Pod に IP を割り当てる」を参照してください。 -
Kubernetes API サーバーの goaway-chance
オプションを使用すると、接続がランダムに閉じることで、 HTTP/2クライアント接続が単一の API サーバーインスタンスにスタックされることを防ぐことができます。接続が閉じると、クライアントは再接続を試み、負荷分散の結果として別の API サーバーにアクセスする可能性があります。Amazon EKS バージョン1.26ではgoaway-chanceフラグが有効になっています。Amazon EKS クラスターで実行されているワークロードで HTTP GOAWAYと互換性のないクライアントが使用されている場合は接続終了時に再接続することで GOAWAYを処理できるようにクライアントを更新することをお勧めします。
Kubernetes 1.26 の変更ログの詳細については、「https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.26.md#changelog-since-v1250
