特性门控

本页详述了管理员可以在不同的 Kubernetes 组件上指定的各种特性门控。

关于特性各个阶段的说明,请参见特性阶段

概述

特性门控是描述 Kubernetes 特性的一组键值对。你可以在 Kubernetes 的各个组件中使用 --feature-gates 标志来启用或禁用这些特性。

每个 Kubernetes 组件都支持启用或禁用与该组件相关的一组特性门控。 使用 -h 参数来查看所有组件支持的完整特性门控。 要为诸如 kubelet 之类的组件设置特性门控,请使用 --feature-gates 参数, 并向其传递一个特性设置键值对列表:

  1. --feature-gates=...,GracefulNodeShutdown=true

下表总结了在不同的 Kubernetes 组件上可以设置的特性门控。

  • 引入特性或更改其发布阶段后,”开始(Since)” 列将包含 Kubernetes 版本。
  • “结束(Until)” 列(如果不为空)包含最后一个 Kubernetes 版本,你仍可以在其中使用特性门控。
  • 如果某个特性处于 Alpha 或 Beta 状态,你可以在 Alpha 和 Beta 特性门控表中找到该特性。
  • 如果某个特性处于稳定状态, 你可以在已毕业和废弃特性门控表中找到该特性的所有阶段。
  • 已毕业和废弃特性门控表还列出了废弃的和已被移除的特性。

说明:

有关已移除的原有特性门控的参考信息, 请参阅已移除的特性门控

Alpha 和 Beta 状态的特性门控

处于 Alpha 或 Beta 状态的特性门控
特性默认值状态开始(Since)结束(Until)
APIListChunkingfalseAlpha1.81.8
APIListChunkingtrueBeta1.9
APIPriorityAndFairnessfalseAlpha1.181.19
APIPriorityAndFairnesstrueBeta1.20
APIResponseCompressionfalseAlpha1.71.15
APIResponseCompressiontrueBeta1.16
APIServerIdentityfalseAlpha1.201.25
APIServerIdentitytrueBeta1.26
APIServerTracingfalseAlpha1.221.26
APIServerTracingtrueBeta1.27
AdmissionWebhookMatchConditionsfalseAlpha1.271.27
AdmissionWebhookMatchConditionstrueBeta1.28
AggregatedDiscoveryEndpointfalseAlpha1.261.26
AggregatedDiscoveryEndpointtrueBeta1.27
AnyVolumeDataSourcefalseAlpha1.181.23
AnyVolumeDataSourcetrueBeta1.24
AppArmortrueBeta1.4
CPUManagerPolicyAlphaOptionsfalseAlpha1.23
CPUManagerPolicyBetaOptionstrueBeta1.23
CPUManagerPolicyOptionsfalseAlpha1.221.22
CPUManagerPolicyOptionstrueBeta1.23
CRDValidationRatchetingfalseAlpha1.28
CSIMigrationPortworxfalseAlpha1.231.24
CSIMigrationPortworxfalseBeta1.25
CSINodeExpandSecretfalseAlpha1.251.26
CSINodeExpandSecrettrueBeta1.27
CSIVolumeHealthfalseAlpha1.21
CloudControllerManagerWebhookfalseAlpha1.27
CloudDualStackNodeIPsfalseAlpha1.27
ClusterTrustBundlefalseAlpha1.27
ComponentSLIsfalseAlpha1.261.26
ComponentSLIstrueBeta1.27
ConsistentListFromCachefalseAlpha1.28
ContainerCheckpointfalseAlpha1.25
ContextualLoggingfalseAlpha1.24
CronJobsScheduledAnnotationtrueBeta1.28
CrossNamespaceVolumeDataSourcefalseAlpha1.26
CustomCPUCFSQuotaPeriodfalseAlpha1.12
CustomResourceValidationExpressionsfalseAlpha1.231.24
CustomResourceValidationExpressionstrueBeta1.25
DevicePluginCDIDevicesfalseAlpha1.28
DisableCloudProvidersfalseAlpha1.22
DisableKubeletCloudCredentialProvidersfalseAlpha1.23
DynamicResourceAllocationfalseAlpha1.26
ElasticIndexedJobtrueBeta1.27
EventedPLEGfalseAlpha1.261.26
EventedPLEGfalseBeta1.27
GracefulNodeShutdownfalseAlpha1.201.20
GracefulNodeShutdowntrueBeta1.21
GracefulNodeShutdownBasedOnPodPriorityfalseAlpha1.231.23
GracefulNodeShutdownBasedOnPodPrioritytrueBeta1.24
HPAContainerMetricsfalseAlpha1.201.26
HPAContainerMetricstrueBeta1.27
HPAScaleToZerofalseAlpha1.16
HonorPVReclaimPolicyfalseAlpha1.23
InPlacePodVerticalScalingfalseAlpha1.27
InTreePluginAWSUnregisterfalseAlpha1.21
InTreePluginAzureDiskUnregisterfalseAlpha1.21
InTreePluginAzureFileUnregisterfalseAlpha1.21
InTreePluginGCEUnregisterfalseAlpha1.21
InTreePluginOpenStackUnregisterfalseAlpha1.21
InTreePluginPortworxUnregisterfalseAlpha1.23
InTreePluginvSphereUnregisterfalseAlpha1.21
JobBackoffLimitPerIndexfalseAlpha1.28
JobPodFailurePolicyfalseAlpha1.251.25
JobPodFailurePolicytrueBeta1.26
JobPodReplacementPolicyfalseAlpha1.28
JobReadyPodsfalseAlpha1.231.23
JobReadyPodstrueBeta1.24
KMSv2falseAlpha1.251.26
KMSv2trueBeta1.27
KMSv2KDFfalseBeta1.28
KubeProxyDrainingTerminatingNodesfalseAlpha1.28
KubeletCgroupDriverFromCRIfalseAlpha1.28
KubeletInUserNamespacefalseAlpha1.22
KubeletPodResourcesDynamicResourcesfalseAlpha1.27
KubeletPodResourcesGetfalseAlpha1.27
KubeletTracingfalseAlpha1.251.26
KubeletTracingtrueBeta1.27
LegacyServiceAccountTokenCleanUpfalseAlpha1.28
LocalStorageCapacityIsolationFSQuotaMonitoringfalseAlpha1.15-
LogarithmicScaleDownfalseAlpha1.211.21
LogarithmicScaleDowntrueBeta1.22
LoggingAlphaOptionsfalseAlpha1.24-
LoggingBetaOptionstrueBeta1.24-
MatchLabelKeysInPodTopologySpreadfalseAlpha1.251.26
MatchLabelKeysInPodTopologySpreadtrueBeta1.27-
MaxUnavailableStatefulSetfalseAlpha1.24
MemoryManagerfalseAlpha1.211.21
MemoryManagertrueBeta1.22
MemoryQoSfalseAlpha1.22
MinDomainsInPodTopologySpreadfalseAlpha1.241.24
MinDomainsInPodTopologySpreadfalseBeta1.251.26
MinDomainsInPodTopologySpreadtrueBeta1.27
MultiCIDRRangeAllocatorfalseAlpha1.25
MultiCIDRServiceAllocatorfalseAlpha1.27
NewVolumeManagerReconstructionfalseBeta1.271.27
NewVolumeManagerReconstructiontrueBeta1.28
NodeInclusionPolicyInPodTopologySpreadfalseAlpha1.251.25
NodeInclusionPolicyInPodTopologySpreadtrueBeta1.26
NodeLogQueryfalseAlpha1.27
NodeSwapfalseAlpha1.221.27
NodeSwapfalseBeta1.28
OpenAPIEnumsfalseAlpha1.231.23
OpenAPIEnumstrueBeta1.24
PDBUnhealthyPodEvictionPolicyfalseAlpha1.261.26
PDBUnhealthyPodEvictionPolicytrueBeta1.27
PersistentVolumeLastPhaseTransistionTimefalseAlpha1.28
PodAndContainerStatsFromCRIfalseAlpha1.23
PodDeletionCostfalseAlpha1.211.21
PodDeletionCosttrueBeta1.22
PodDisruptionConditionsfalseAlpha1.251.25
PodDisruptionConditionstrueBeta1.26
PodHostIPsfalseAlpha1.28
PodIndexLabeltrueBeta1.28
PodReadyToStartContainersConditionfalseAlpha1.28
PodSchedulingReadinessfalseAlpha1.261.26
PodSchedulingReadinesstrueBeta1.27
ProcMountTypefalseAlpha1.12
QOSReservedfalseAlpha1.11
ReadWriteOncePodfalseAlpha1.221.26
ReadWriteOncePodtrueBeta1.27
RecoverVolumeExpansionFailurefalseAlpha1.23
RemainingItemCountfalseAlpha1.151.15
RemainingItemCounttrueBeta1.16
RotateKubeletServerCertificatefalseAlpha1.71.11
RotateKubeletServerCertificatetrueBeta1.12
SELinuxMountReadWriteOncePodfalseAlpha1.251.26
SELinuxMountReadWriteOncePodfalseBeta1.271.27
SELinuxMountReadWriteOncePodtrueBeta1.28
SchedulerQueueingHintstrueBeta1.28
SecurityContextDenyfalseAlpha1.27
ServiceNodePortStaticSubrangefalseAlpha1.271.27
ServiceNodePortStaticSubrangetrueBeta1.28
SidecarContainersfalseAlpha1.28
SizeMemoryBackedVolumesfalseAlpha1.201.21
SizeMemoryBackedVolumestrueBeta1.22
SkipReadOnlyValidationGCEfalseAlpha1.28
StableLoadBalancerNodeSettrueBeta1.27
StatefulSetAutoDeletePVCfalseAlpha1.231.26
StatefulSetAutoDeletePVCtrueBeta1.27
StatefulSetStartOrdinalfalseAlpha1.261.26
StatefulSetStartOrdinaltrueBeta1.27
StorageVersionAPIfalseAlpha1.20
StorageVersionHashfalseAlpha1.141.14
StorageVersionHashtrueBeta1.15
TopologyAwareHintsfalseAlpha1.211.22
TopologyAwareHintsfalseBeta1.231.23
TopologyAwareHintstrueBeta1.24
TopologyManagerPolicyAlphaOptionsfalseAlpha1.26
TopologyManagerPolicyBetaOptionsfalseBeta1.261.27
TopologyManagerPolicyBetaOptionstrueBeta1.28
TopologyManagerPolicyOptionsfalseAlpha1.261.27
TopologyManagerPolicyOptionstrueBeta1.28
UnauthenticatedHTTP2DOSMitigationfalseBeta1.28
UnknownVersionInteroperabilityProxyfalseAlpha1.28
UserNamespacesSupportfalseAlpha1.28
ValidatingAdmissionPolicyfalseAlpha1.261.27
ValidatingAdmissionPolicyfalseBeta1.28
VolumeCapacityPriorityfalseAlpha1.21
WatchListfalseAlpha1.27
WinDSRfalseAlpha1.14
WinOverlayfalseAlpha1.141.19
WinOverlaytrueBeta1.20
WindowsHostNetworktrueAlpha1.26

已毕业和已废弃的特性门控

已毕业或不推荐使用的特性门控
特性默认值状态开始(Since)结束(Until)
APISelfSubjectReviewfalseAlpha1.261.26
APISelfSubjectReviewtrueBeta1.271.27
APISelfSubjectReviewtrueGA1.28-
CPUManagerfalseAlpha1.81.9
CPUManagertrueBeta1.101.25
CPUManagertrueGA1.26-
CSIMigrationAzureFilefalseAlpha1.151.20
CSIMigrationAzureFilefalseBeta1.211.23
CSIMigrationAzureFiletrueBeta1.241.25
CSIMigrationAzureFiletrueGA1.26
CSIMigrationRBDfalseAlpha1.231.27
CSIMigrationRBDfalseDeprecated1.28
CSIMigrationvSpherefalseAlpha1.181.18
CSIMigrationvSpherefalseBeta1.191.24
CSIMigrationvSpheretrueBeta1.251.25
CSIMigrationvSpheretrueGA1.26-
ConsistentHTTPGetHandlerstrueGA1.25-
CronJobTimeZonefalseAlpha1.241.24
CronJobTimeZonetrueBeta1.251.26
CronJobTimeZonetrueGA1.27-
DaemonSetUpdateSurgefalseAlpha1.211.21
DaemonSetUpdateSurgetrueBeta1.221.24
DaemonSetUpdateSurgetrueGA1.25
DefaultHostNetworkHostPortsInPodTemplatesfalseDeprecated1.28
DownwardAPIHugePagesfalseAlpha1.201.20
DownwardAPIHugePagesfalseBeta1.211.21
DownwardAPIHugePagestrueBeta1.221.26
DownwardAPIHugePagestrueGA1.27
EfficientWatchResumptionfalseAlpha1.201.20
EfficientWatchResumptiontrueBeta1.211.23
EfficientWatchResumptiontrueGA1.24
ExecProbeTimeouttrueGA1.20
ExpandedDNSConfigfalseAlpha1.221.25
ExpandedDNSConfigtrueBeta1.261.27
ExpandedDNSConfigtrueGA1.28
ExperimentalHostUserNamespaceDefaultingfalseBeta1.51.27
ExperimentalHostUserNamespaceDefaultingfalseDeprecated1.28
GRPCContainerProbefalseAlpha1.231.23
GRPCContainerProbetrueBeta1.241.26
GRPCContainerProbetrueGA1.27
IPTablesOwnershipCleanupfalseAlpha1.251.26
IPTablesOwnershipCleanuptrueBeta1.271.27
IPTablesOwnershipCleanuptrueGA1.28
InTreePluginRBDUnregisterfalseAlpha1.231.27
InTreePluginRBDUnregisterfalseDeprecated1.28
JobMutableNodeSchedulingDirectivestrueBeta1.231.26
JobMutableNodeSchedulingDirectivestrueGA1.27
JobTrackingWithFinalizersfalseAlpha1.221.22
JobTrackingWithFinalizersfalseBeta1.231.24
JobTrackingWithFinalizerstrueBeta1.251.25
JobTrackingWithFinalizerstrueGA1.26
KMSv1trueDeprecated1.28
KubeletPodResourcesfalseAlpha1.131.14
KubeletPodResourcestrueBeta1.151.27
KubeletPodResourcestrueGA1.28
KubeletPodResourcesGetAllocatablefalseAlpha1.211.22
KubeletPodResourcesGetAllocatabletrueBeta1.231.27
KubeletPodResourcesGetAllocatabletrueGA1.28
LegacyServiceAccountTokenNoAutoGenerationtrueBeta1.241.25
LegacyServiceAccountTokenNoAutoGenerationtrueGA1.26
LegacyServiceAccountTokenTrackingfalseAlpha1.261.26
LegacyServiceAccountTokenTrackingtrueBeta1.271.27
LegacyServiceAccountTokenTrackingtrueGA1.28
MinimizeIPTablesRestorefalseAlpha1.261.26
MinimizeIPTablesRestoretrueBeta1.271.27
MinimizeIPTablesRestoretrueGA1.28
NodeOutOfServiceVolumeDetachfalseAlpha1.241.25
NodeOutOfServiceVolumeDetachtrueBeta1.261.27
NodeOutOfServiceVolumeDetachtrueGA1.28
OpenAPIV3falseAlpha1.231.23
OpenAPIV3trueBeta1.241.26
OpenAPIV3trueGA1.27
ProbeTerminationGracePeriodfalseAlpha1.211.21
ProbeTerminationGracePeriodfalseBeta1.221.24
ProbeTerminationGracePeriodtrueBeta1.251.27
ProbeTerminationGracePeriodtrueGA1.28
ProxyTerminatingEndpointsfalseAlpha1.221.25
ProxyTerminatingEndpointstrueBeta1.261.27
ProxyTerminatingEndpointstrueGA1.28
RemoveSelfLinkfalseAlpha1.161.19
RemoveSelfLinktrueBeta1.201.23
RemoveSelfLinktrueGA1.24
RetroactiveDefaultStorageClassfalseAlpha1.251.25
RetroactiveDefaultStorageClasstrueBeta1.261.27
RetroactiveDefaultStorageClasstrueGA1.28
SeccompDefaultfalseAlpha1.221.24
SeccompDefaulttrueBeta1.251.26
SeccompDefaulttrueGA1.27-
ServerSideApplyfalseAlpha1.141.15
ServerSideApplytrueBeta1.161.21
ServerSideApplytrueGA1.22-
ServerSideFieldValidationfalseAlpha1.231.24
ServerSideFieldValidationtrueBeta1.251.26
ServerSideFieldValidationtrueGA1.27-
TopologyManagerfalseAlpha1.161.17
TopologyManagertrueBeta1.181.26
TopologyManagertrueGA1.27-
WatchBookmarkfalseAlpha1.151.15
WatchBookmarktrueBeta1.161.16
WatchBookmarktrueGA1.17-

使用特性

特性阶段

处于 AlphaBetaGA 阶段的特性。

Alpha 特性代表:

  • 默认禁用。
  • 可能有错误,启用此特性可能会导致错误。
  • 随时可能删除对此特性的支持,恕不另行通知。
  • 在以后的软件版本中,API 可能会以不兼容的方式更改,恕不另行通知。
  • 建议将其仅用于短期测试中,因为开启特性会增加错误的风险,并且缺乏长期支持。

Beta 特性代表:

  • 通常默认启用。Beta API 组默认是被禁用的
  • 该特性已经经过良好测试。启用该特性是安全的。
  • 尽管详细信息可能会更改,但不会放弃对整体特性的支持。
  • 对象的架构或语义可能会在随后的 Beta 或稳定版本中以不兼容的方式更改。 当发生这种情况时,我们将提供迁移到下一版本的说明。此特性可能需要删除、编辑和重新创建 API 对象。 编辑过程可能需要慎重操作,因为这可能会导致依赖该特性的应用程序停机。
  • 推荐仅用于非关键业务用途,因为在后续版本中可能会发生不兼容的更改。如果你具有多个可以独立升级的,则可以放宽此限制。

说明:

请试用 Beta 特性并提供相关反馈! 一旦特性结束 Beta 状态,我们就不太可能再对特性进行大幅修改。

General Availability(GA)特性也称为稳定特性,GA 特性代表着:

  • 此特性会一直启用;你不能禁用它。
  • 不再需要相应的特性门控。
  • 对于许多后续版本,特性的稳定版本将出现在发行的软件中。

特性门控列表

每个特性门控均用于启用或禁用某个特定的特性:

  • AdmissionWebhookMatchConditions:在转换和验证准入 Webhook 上启用匹配条件

  • APIListChunking:启用 API 客户端以块的形式从 API 服务器检索(LISTGET)资源。

  • APIPriorityAndFairness:在每个服务器上启用优先级和公平性来管理请求并发(由 RequestManagement 重命名而来)。
  • APIResponseCompression:压缩 LISTGET 请求的 API 响应。
  • APISelfSubjectReview:激活 SelfSubjectReview API,允许用户查看请求主体的身份验证信息。 更多细节请参阅 API 访问客户端的身份验证信息
  • APIServerIdentity:使用租约为集群中的每个 API 服务器赋予一个 ID。
  • APIServerTracing:为集群中的每个 API 服务器添加对分布式跟踪的支持。 参阅针对 Kubernetes 系统组件的追踪 获取更多详细信息。

  • AggregatedDiscoveryEndpoint:启用单个 HTTP 端点 /discovery/<version>, 支持用 ETag 进行原生 HTTP 缓存,包含 API 服务器已知的所有 APIResource。

  • AnyVolumeDataSource:允许使用任何自定义的资源来做作为 PVC 中的 DataSource
  • AppArmor:在 Linux 节点上为 Pod 启用 AppArmor 机制的强制访问控制。 请参见 AppArmor 教程获取详细信息。

  • CPUManager:启用容器级别的 CPU 亲和性支持,有关更多详细信息,请参见 CPU 管理策略

  • CPUManagerPolicyAlphaOptions:允许对 CPUManager 策略进行微调,针对试验性的、Alpha 质量级别的选项。 此特性门控用来保护一组质量级别为 Alpha 的 CPUManager 选项。 此特性门控永远不会被升级为 Beta 或者稳定版本。
  • CPUManagerPolicyBetaOptions:允许对 CPUManager 策略进行微调,针对试验性的、Beta 质量级别的选项。 此特性门控用来保护一组质量级别为 Beta 的 CPUManager 选项。 此特性门控永远不会被升级为稳定版本。
  • CPUManagerPolicyOptions:允许微调 CPU 管理策略。

  • CSIMigrationAzureFile:确保封装和转换逻辑能够将卷操作从 AzureFile 内嵌插件路由到 AzureFile CSI 插件。对于禁用了此特性的节点或者没有安装并配置 AzureFile CSI 插件的节点,支持回退到内嵌(in-tree)AzureFile 插件来执行卷挂载操作。 不支持回退到内嵌插件来执行卷制备操作,因为对应的 CSI 插件必须已安装且正确配置。 此特性需要启用 CSIMigration 特性标志。

  • CSIMigrationRBD:启用填充和转换逻辑,将卷操作从 RBD 的内嵌插件路由到 Ceph RBD CSI 插件。此特性要求 CSIMigration 和 csiMigrationRBD 特性标志均被启用, 且集群中安装并配置了 Ceph CSI 插件。此标志已被弃用,以鼓励使用 InTreePluginRBDUnregister 特性标志。后者会禁止注册内嵌的 RBD 插件。

  • CSIMigrationvSphere:允许封装和转换逻辑将卷操作从 vSphere 内嵌插件路由到 vSphere CSI 插件。如果节点禁用了此特性门控或者未安装和配置 vSphere CSI 插件, 则支持回退到 vSphere 内嵌插件来执行挂载操作。 不支持回退到内嵌插件来执行制备操作,因为对应的 CSI 插件必须已安装且正确配置。 这需要启用 CSIMigration 特性标志。

  • CSIMigrationPortworx:启用填充和转换逻辑,将卷操作从 Portworx 内嵌插件路由到 Portworx CSI 插件。需要在集群中安装并配置 Portworx CSI 插件.

  • CSINodeExpandSecret:允许在 NodeExpandVolume CSI 操作期间将 Secret 身份验证数据传递到 CSI 驱动以供后者使用。

  • CSIVolumeHealth:启用对节点上的 CSI 卷运行状况监控的支持。

  • CloudControllerManagerWebhook:启用在云控制器管理器中的 Webhook。

  • CloudDualStackNodeIPs:允许在外部云驱动中通过 kubelet --node-ip 设置双协议栈。 有关详细信息,请参阅配置 IPv4/IPv6 双协议栈
  • ClusterTrustBundle:启用 ClusterTrustBundle 对象和 kubelet 集成。

  • ComponentSLIs:在 kubelet、kube-scheduler、kube-proxy、kube-controller-manager、cloud-controller-manager 等 Kubernetes 组件上启用 /metrics/slis 端点,从而允许你抓取健康检查指标。

  • ConsistentHTTPGetHandlers:使用探测器为生命周期处理程序规范化 HTTP get URL 和标头传递。
  • ConsistentListFromCache:允许 API 服务器从缓存中提供一致的列表。
  • ContainerCheckpoint: 启用 kubelet checkpoint API。 详情见 Kubelet Checkpoint API
  • ContextualLogging:当你启用这个特性门控,支持日志上下文记录的 Kubernetes 组件会为日志输出添加额外的详细内容。
  • CronJobsScheduledAnnotation:将调度作业的时间设置为代表 CronJob 创建的作业上的一个 注解
  • CronJobTimeZone:允许在 CronJobs 中使用 timeZone 可选字段。

  • CRDValidationRatcheting:如果资源更新的冲突部分未发生变化,则启用对自定义资源的更新以包含对 OpenAPI 模式的违规条目。 详情参见验证递进

  • CrossNamespaceVolumeDataSource:启用跨名字空间卷数据源,以允许你在 PersistentVolumeClaim 的 dataSourceRef 字段中指定一个源名字空间。
  • CustomCPUCFSQuotaPeriod:使节点能够更改 kubelet 配置中的 cpuCFSQuotaPeriod
  • CustomResourceValidationExpressions:启用 CRD 中的表达式语言合法性检查, 基于 x-kubernetes-validations 扩展中所书写的合法性检查规则来验证定制资源。

  • DaemonSetUpdateSurge:使 DaemonSet 工作负载在每个节点的更新期间保持可用性。 参阅对 DaemonSet 执行滚动更新

  • DefaultHostNetworkHostPortsInPodTemplates:更改何时分配 PodSpec.containers[*].ports[*].hostPort 的默认值。 默认仅在 Pod 中设置默认值。启用此特性意味着即使在嵌套的 PodSpec(例如 Deployment 中)中也会分配默认值, 这是以前的默认行为。

  • DevicePluginCDIDevices:启用设备插件 API 对 CDI 设备 ID 的支持。

  • DisableCloudProviders:禁用 kube-apiserverkube-controller-managerkubelet 组件的 --cloud-provider 标志相关的所有功能。

  • DisableKubeletCloudCredentialProviders:禁用 kubelet 中为拉取镜像内置的凭据机制, 该凭据用于向某云提供商的容器镜像仓库执行身份认证。
  • DownwardAPIHugePages: 允许在下行(Downward)API 中使用巨页信息。

  • DynamicResourceAllocation:启用对具有自定义参数和独立于 Pod 生命周期的资源的支持。

  • ElasticIndexedJob:通过同时改变 spec.completionsspec.parallelism 使得 spec.completions == spec.parallelism 来对带索引的 Job 执行扩容或缩容。 有关详细信息,请参阅有关弹性的带索引的 Job 的文档。
  • EfficientWatchResumption:允许将存储发起的书签(进度通知)事件传递给用户。 这仅适用于监视操作。

  • EventedPLEG:启用此特性后,kubelet 能够通过 CRI 扩展从容器运行时接收容器生命周期事件。 (PLEG 是 Pod lifecycle event generator 的缩写,即 Pod 生命周期事件生成器)。 要使用此特性,你还需要在集群中运行的每个容器运行时中启用对容器生命周期事件的支持。 如果容器运行时未宣布支持容器生命周期事件,即使你已启用了此特性门控,kubelet 也会自动切换到原有的通用 PLEG 机制。

  • ExecProbeTimeout:确保 kubelet 会遵从 exec 探针的超时值设置。 此特性门控的主要目的是方便你处理现有的、依赖于已被修复的缺陷的工作负载; 该缺陷导致 Kubernetes 会忽略 exec 探针的超时值设置。 参阅就绪态探针.

  • ExpandedDNSConfig:在 kubelet 和 kube-apiserver 上启用后, 允许使用更多的 DNS 搜索域和搜索域列表。此功能特性需要容器运行时 (containerd v1.5.6 或更高,CRI-O v1.22 或更高)的支持。 参阅扩展 DNS 配置.

  • ExperimentalHostUserNamespaceDefaulting:启用主机默认的用户名字空间。 这适用于使用其他主机名字空间、主机安装的容器,或具有特权或使用特定的非名字空间功能 (例如 MKNODE、SYS_MODULE 等)的容器。 如果在 Docker 守护程序中启用了用户名字空间重新映射,则启用此选项。

  • GracefulNodeShutdown:在 kubelet 中启用体面地关闭节点的支持。 在系统关闭时,kubelet 会尝试监测该事件并体面地终止节点上运行的 Pod。 参阅体面地关闭节点以了解更多细节。

  • GracefulNodeShutdownBasedOnPodPriority:允许 kubelet 在体面终止节点时检查 Pod 的优先级。

  • GRPCContainerProbe:为活跃态、就绪态和启动探针启用 gRPC 探针。 参阅配置活跃态、就绪态和启动探针
  • HonorPVReclaimPolicy:无论 PV 和 PVC 的删除顺序如何,当持久卷申领的策略为 Delete 时,确保这种策略得到处理。 更多详细信息,请参阅 PersistentVolume 删除保护 finalizer 文档。

  • HPAContainerMetrics:允许 HorizontalPodAutoscaler 基于目标 Pods 中各容器的度量值来执行扩缩操作。

  • HPAScaleToZero:使用自定义指标或外部指标时,可将 HorizontalPodAutoscaler 资源的 minReplicas 设置为 0。

  • IPTablesOwnershipCleanup:这使得 kubelet 不再创建传统的 iptables 规则。

  • InPlacePodVerticalScaling:启用就地 Pod 垂直扩缩。

  • InTreePluginAWSUnregister:在 kubelet 和卷控制器上关闭注册 aws-ebs 内嵌插件。

  • InTreePluginAzureDiskUnregister:在 kubelet 和卷控制器上关闭注册 azuredisk 内嵌插件。
  • InTreePluginAzureFileUnregister:在 kubelet 和卷控制器上关闭注册 azurefile 内嵌插件。

  • InTreePluginGCEUnregister:在 kubelet 和卷控制器上关闭注册 gce-pd 内嵌插件。

  • InTreePluginOpenStackUnregister:在 kubelet 和卷控制器上关闭注册 OpenStack cinder 内嵌插件。
  • InTreePluginPortworxUnregister:在 kubelet 和卷控制器上关闭注册 Portworx 内嵌插件。
  • InTreePluginRBDUnregister:在 kubelet 和卷控制器上关闭注册 RBD 内嵌插件。

  • InTreePluginvSphereUnregister:在 kubelet 和卷控制器上关闭注册 vSphere 内嵌插件。

  • JobMutableNodeSchedulingDirectives:允许在 Job 的 Pod 模板中更新节点调度指令。

  • JobBackoffLimitPerIndex:允许在索引作业中指定每个索引的最大 Pod 重试次数。
  • JobPodFailurePolicy:允许用户根据容器退出码和 Pod 状况来指定 Pod 失效的处理方法。
  • JobPodReplacementPolicy:允许你在 Job 中为终止的 Pod 指定替代 Pod。
  • JobReadyPods:允许跟踪状况Ready 的 Pod 的个数。Ready 的 Pod 记录在 Job 对象的 status 字段中。

  • JobTrackingWithFinalizers:启用跟踪 Job 完成情况,而不是永远从集群剩余 Pod 来获取信息判断完成情况。Job 控制器使用 Pod finalizers 和 Job 状态中的一个字段来跟踪已完成的 Pod 以计算完成。

  • KMSv1:启用 KMS v1 API 以进行数据静态加密。 详情参见使用 KMS 提供程序进行数据加密

  • KMSv2:启用 KMS v2 API 以实现静态加密。 详情参见使用 KMS 驱动进行数据加密
  • KMSv2KDF:启用 KMS v2 以生成一次性数据加密密钥。 详情参见使用 KMS 提供程序进行数据加密。 如果 KMSv2 特性门控在你的集群未被启用 ,则 KMSv2KDF 特性门控的值不会产生任何影响。
  • KubeProxyDrainingTerminatingNodes:为 externalTrafficPolicy: Cluster 服务实现正终止节点的连接排空。

  • KubeletCgroupDriverFromCRI:启用检测来自 CRI 的 kubelet cgroup 驱动配置选项。你可以在支持该特性门控的 kubelet 节点上使用此特性门控, 也可以在支持 RuntimeConfig CRI 调用的 CRI 容器运行时所在节点上使用此特性门控。 如果 CRI 和 kubelet 都支持此特性,kubelet 将忽略 cgroupDriver 配置设置(或已弃用的 --cgroup-driver 命令行参数)。 如果你启用此特性门控但容器运行时不支持它,则 kubelet 将回退到使用通过 cgroupDriver 配置设置进行配置的驱动。 详情参见配置 cgroup 驱动

  • KubeletInUserNamespace:支持在用户名字空间里运行 kubelet。 请参见使用非 Root 用户来运行 Kubernetes 节点组件

  • KubeletPodResources:启用 kubelet 上 Pod 资源 GRPC 端点。更多详细信息, 请参见支持设备监控

  • KubeletPodResourcesGet:在 kubelet 上为 Pod 资源启用 Get gRPC 端点。 此 API 增强了资源分配报告
  • KubeletPodResourcesGetAllocatable:启用 kubelet 的 Pod 资源的 GetAllocatableResources 功能。 该 API 增强了资源分配报告 包含有关可分配资源的信息,使客户端能够正确跟踪节点上的可用计算资源。

  • KubeletPodResourcesDynamicResources:扩展 kubelet 的 pod 资源 gRPC 端点以包括通过 DynamicResourceAllocation API 在 ResourceClaims 中分配的资源。 有关详细信息,请参阅资源分配报告

  • KubeletTracing:新增在 Kubelet 中对分布式追踪的支持。 启用时,kubelet CRI 接口和经身份验证的 http 服务器被插桩以生成 OpenTelemetry 追踪 span。 参阅针对 Kubernetes 系统组件的追踪 获取更多详细信息。
  • LegacyServiceAccountTokenNoAutoGeneration:停止基于 Secret 自动生成服务账号令牌
  • LegacyServiceAccountTokenCleanUp:当服务账号令牌在指定时间内(默认为一年)未被使用时, 启用基于 Secret 清理服务账号令牌
  • LegacyServiceAccountTokenTracking:跟踪使用基于 Secret 的服务账号令牌

  • LocalStorageCapacityIsolationFSQuotaMonitoring:如果 本地临时存储启用了 LocalStorageCapacityIsolation,并且 emptyDir 卷的后备文件系统支持项目配额, 并且启用了这些配额,将使用项目配额来监视 emptyDir 卷的存储消耗而不是遍历文件系统, 以此获得更好的性能和准确性。

  • LogarithmicScaleDown:启用 Pod 的半随机(semi-random)选择,控制器将根据 Pod 时间戳的对数桶按比例缩小去驱逐 Pod。

  • LoggingAlphaOptions:允许微调实验性的、Alpha 质量的日志选项。
  • LoggingBetaOptions:允许微调实验性的、Beta 质量的日志选项。
  • MatchLabelKeysInPodTopologySpread:为 Pod 拓扑分布约束 启用 matchLabelKeys 字段。
  • MaxUnavailableStatefulSet:启用为 StatefulSet 的滚动更新策略设置 maxUnavailable 字段。该字段指定更新过程中不可用 Pod 个数的上限。
  • MemoryManager:允许基于 NUMA 拓扑为容器设置内存亲和性。
  • MemoryQoS:使用 cgroup v2 内存控制器在 Pod / 容器上启用内存保护和使用限制。
  • MinDomainsInPodTopologySpread:在 Pod 拓扑分布约束中启用 minDomains
  • MinimizeIPTablesRestore:在 kube-proxy iptables 模式中启用新的性能改进逻辑。

  • MultiCIDRRangeAllocator:启用 MultiCIDR 网段分配机制。

  • MultiCIDRServiceAllocator: 使用 IPAddress 对象跟踪 Service 的集群 IP 的 IP 地址分配。

  • NewVolumeManagerReconstruction: 在 kubelet 启动期间启用改进的挂载卷的发现。 由于这段代码已经进行了重大重构,我们允许在 kubelet 在启动时被卡住或没有从终止的 Pod 上卸载卷的情况下选择退出。 请注意,此重构是在 Kubernetes 1.25 中的 SELinuxMountReadWriteOncePod alpha 特性门控背后进行的。

    在 Kubernetes v1.25 之前,kubelet 在启动期间使用不同的默认行为来发现挂载的卷。 如果禁用此特性门控(默认启用),则选择传统的发现方式。

    在Kubernetes v1.25 和 v1.26 中,此行为切换是 SELinuxMountReadWriteOncePod 特性门控的一部分。

  • NodeInclusionPolicyInPodTopologySpread:在计算 Pod 拓扑分布偏差时启用在 Pod 拓扑分布约束中使用 nodeAffinityPolicy and nodeTaintsPolicy

  • NodeOutOfServiceVolumeDetach:当使用 node.kubernetes.io/out-of-service 污点将节点标记为停止服务时,节点上不能容忍这个污点的 Pod 将被强制删除, 并且该在节点上被终止的 Pod 将立即进行卷分离操作。

  • NodeSwap:启用 kubelet 为节点上的 Kubernetes 工作负载分配交换内存的能力。 必须将 KubeletConfiguration.failSwapOn 设置为 false 的情况下才能使用。 更多详细信息,请参见交换内存
  • OpenAPIEnums:允许在从 API 服务器返回的 spec 中填充 OpenAPI 模式的 “enum” 字段。
  • OpenAPIV3:允许 API 服务器发布 OpenAPI V3。
  • PDBUnhealthyPodEvictionPolicy:启用 PodDisruptionBudgetunhealthyPodEvictionPolicy 字段。 此字段指定何时应考虑驱逐不健康的 Pod。 更多细节请参阅不健康 Pod 驱逐策略

  • PersistentVolumeLastPhaseTransitionTime:为 PersistentVolume 添加一个新字段,用于保存卷上一次转换阶段的时间戳。

  • PodAndContainerStatsFromCRI:配置 kubelet 从 CRI 容器运行时中而不是从 cAdvisor 中采集容器和 Pod 统计信息。 从 1.26 开始,这还包括从 CRI 收集指标并通过 /metrics/cadvisor 输出这些指标(而不是让 cAdvisor 直接输出)。
  • PodDeletionCost:启用 Pod 删除开销特性, 允许用户影响 ReplicaSet 的缩容顺序。
  • PodDisruptionConditions:启用支持追加一个专用的 Pod 状况,以表示 Pod 由于某个干扰正在被删除。

  • PodHostIPs:为 Pod 和 downward API 启用 status.hostIPs 字段。该字段允许你将主机 IP 地址暴露给工作负载。

  • PodIndexLabel:在创建新的 Pod 时,使得 Job 控制器和 StatefulSet 控制器能将 Pod 索引添加为标签。 详情参见 Job 完成模式文档StatefulSet Pod 索引标签文档
  • PodReadyToStartContainersCondition:使得 kubelet 能在 Pod 上标记 PodReadyToStartContainers 状况。 此前(1.25-1.27 版本)称为 PodHasNetworkCondition

  • PodSchedulingReadiness:启用设置 schedulingGates 字段以控制 Pod 的调度就绪

  • ProbeTerminationGracePeriod:在 Pod 上启用 设置探测器级别 terminationGracePeriodSeconds。 有关更多信息,请参见改进提案

  • ProcMountType:允许容器通过设置 SecurityContext 的 procMount 字段来控制对 proc 文件系统的挂载方式。
  • ProxyTerminatingEndpoints:当 ExternalTrafficPolicy=Local 时, 允许 kube-proxy 来处理终止过程中的端点。
  • QOSReserved:允许在 QoS 级别进行资源预留,以防止处于较低 QoS 级别的 Pod 突发进入处于较高 QoS 级别的请求资源(目前仅适用于内存)。
  • ReadWriteOncePod:允许使用 ReadWriteOncePod 访问模式的 PersistentVolume。

  • RecoverVolumeExpansionFailure:允许用户编辑其 PVC 来缩小其尺寸, 从而从之前卷扩容发生的失败中恢复。更多细节可参见 从卷扩容失效中恢复

  • RemainingItemCount:允许 API 服务器在 分块列表请求 的响应中显示剩余条目的个数。
  • RemoveSelfLink:将所有对象和集合的 .metadata.selfLink 字段设置为空(空字符串)。 该字段自 Kubernetes v1.16 版本以来已被弃用。 启用此功能后,.metadata.selfLink 字段仍然是 Kubernetes API 的一部分,但始终未设置。

  • RetroactiveDefaultStorageClass:允许以追溯方式分配 StorageClass 给未绑定的 PVC。

  • RotateKubeletServerCertificate:在 kubelet 上启用服务器 TLS 证书的轮换。 更多详细信息,请参见 kubelet 配置

  • SELinuxMountReadWriteOncePod:通过允许 kubelet 直接用正确的 SELinux 标签为 Pod 挂载卷而不是以递归方式更改这些卷上的每个文件来加速容器启动。最初的实现侧重 ReadWriteOncePod 卷。

  • SchedulerQueueingHints:启用调度器的排队提示增强功能, 有助于减少无效的重新排队。调度器会在集群中发生可能导致 Pod 被重新调度的变化时, 尝试重新进行 Pod 的调度。排队提示是一些内部信号, 用于帮助调度器基于先前的调度尝试来筛选集群中与未调度的 Pod 相关的变化。

  • SeccompDefault:启用 RuntimeDefault 作为所有工作负载的默认 seccomp 配置文件。 此 seccomp 配置文件在 Pod 和/或 Container 的 securityContext 中被指定。

  • SecurityContextDeny:此门控表示 SecurityContextDeny 准入控制器已弃用。
  • ServerSideApply:在 API 服务器上启用服务器端应用(SSA)
  • ServerSideFieldValidation:启用服务器端字段验证。 这意味着验证资源模式在 API 服务器端而不是客户端执行 (例如,kubectl createkubectl apply 命令行)。

  • ServiceNodePortStaticSubrange:允许对 NodePort Service 使用不同的端口分配策略。有关更多详细信息, 请参阅保留 NodePort 范围以避免冲突

  • SidecarContainers:允许将 Init 容器的 restartPolicy 设置为 Always, 以便该容器成为一个边车容器(可重启的 Init 容器)。 详情参见边车容器和 restartPolicy

  • SizeMemoryBackedVolumes:允许 kubelet 检查基于内存制备的卷的尺寸约束(目前主要针对 emptyDir 卷)。

  • SkipReadOnlyValidationGCE:跳过对 GCE 的验证,将在下个版本中启用。
  • StableLoadBalancerNodeSet:允许服务控制器(KCCM)根据节点状态变化来减少负载均衡器的重新配置。
  • StatefulSetStartOrdinal:允许在 StatefulSet 中配置起始序号。 更多细节请参阅起始序号

  • StorageVersionAPI: 启用存储版本 API

  • StorageVersionHash:允许 API 服务器在版本发现中公开存储版本的哈希值。

  • TopologyAwareHints: 在 EndpointSlices 中启用基于拓扑提示的拓扑感知路由。 更多详细信息可参见拓扑感知路由

  • TopologyManager:启用一种机制来协调 Kubernetes 不同组件的细粒度硬件资源分配。 详见控制节点上的拓扑管理策略
  • TopologyManagerPolicyAlphaOptions:允许微调拓扑管理器策略的实验性的、Alpha 质量的选项。 此特性门控守护一组质量级别为 Alpha 的拓扑管理器选项。 此特性门控绝对不会进阶至 Beta 或稳定版。
  • TopologyManagerPolicyBetaOptions:允许微调拓扑管理器策略的实验性的、Beta 质量的选项。 此特性门控守护一组质量级别为 Beta 的拓扑管理器选项。 此特性门控绝对不会进阶至稳定版。

  • TopologyManagerPolicyOptions:允许微调拓扑管理器策略。

  • UnauthenticatedHTTP2DOSMitigation:此功能针对未认证客户端启用 HTTP/2 拒绝服务(DoS)防御机制。 值得注意的是,Kubernetes v1.28.0 至 v1.28.2 版本中并未包含这一功能。
  • UnknownVersionInteroperabilityProxy:存在多个不同版本的 kube-apiserver 时将资源请求代理到正确的对等 kube-apiserver。 详细信息请参阅混合版本代理
  • UserNamespacesSupport:为 Pod 启用用户名字空间支持。 在 Kubernetes v1.28 之前,此特性门控被命名为 UserNamespacesStatelessPodsSupport

  • ValidatingAdmissionPolicy:启用准入控制中所用的对 CEL 校验的 ValidatingAdmissionPolicy 支持。

  • VolumeCapacityPriority:基于可用 PV 容量的拓扑,启用对不同节点的优先级支持。

  • WatchBookmark:启用对 watch 操作中 bookmark 事件的支持。

  • WatchList:启用对 在 watch 请求中流式传输对象的初始状态的支持。
  • WinDSR:允许 kube-proxy 为 Windows 创建 DSR 负载均衡。
  • WinOverlay:允许在 Windows 的覆盖网络模式下运行 kube-proxy。

  • WindowsHostNetwork:启用对 Windows 容器接入主机网络名字空间的支持。

接下来

  • Kubernetes 的弃用策略介绍了项目针对已移除特性和组件的处理方法。
  • 从 Kubernetes 1.24 开始,默认不启用新的 Beta API。 启用 Beta 功能时,还需要启用所有关联的 API 资源。 例如:要启用一个特定资源,如 storage.k8s.io/v1beta1/csistoragecapacities, 请设置 --runtime-config=storage.k8s.io/v1beta1/csistoragecapacities。 有关命令行标志的更多详细信息,请参阅 API 版本控制