v1.25.X

Dockerイメージに新しいタイムゾーン情報を追加し、CronJobsでspec.timeZoneを使用可能に

kineをv0.11.0にバンプし、postgresとNATSの問題を解決し、負荷の高い環境でのウォッチチャネルのパフォーマンスを向上させ、リファレンス実装との互換性を改善

rdt_config.yamlまたはblockio_config.yamlファイルを定義することで、Containerdがrdtまたはblockio設定を使用できるように

エージェントフラグdisable-apiserver-lbを追加し、エージェントがロードバランスプロキシを開始しないように

ServiceLBからのイングレスIPの順序を改善

disable-helm-controllerのためのhelm CRDインストールを無効化

追加メタデータのないスナップショットのスナップショットリストconfigmapエントリを省略

クライアント設定のリトライにジッターを追加し、サーバー起動時の過負荷を回避

レースコンディションを解決するためにdynamiclistenerをバンプし、サーバーがKubernetesシークレットに証明書を同期できない問題を修正

初期クラスター起動時のetcdスナップショットログスパムを減少

S3クライアントが初期化に失敗した場合、S3保持を適用しない

S3スナップショットをリストする際にメタデータを要求しない

スナップショットメタデータログメッセージでファイルパスの代わりにキーを表示

追加のコンテナランタイムの識別に関する問題を修正

Fixed an issue with identifying additional container runtimes

--cluster-reset と --server フラグを使用した場合にユーザーにエラーが表示されます

ユーザーは k3s token rotate -t <OLD_TOKEN> --new-token <NEW_TOKEN> を使用してサーバートークンをローテーションできます。コマンドが成功した後、すべてのサーバーノードは新しいトークンで再起動する必要があります。

スナップショットが取得された時点で削除がキューに入っていた場合、クラスターリセット/リストア直後に k3s が etcd クラスターからメンバーを削除しようとする問題を修正しました。

外部イメージサービスソケットを指定するための --image-service-endpoint フラグを追加

etcd エンドポイントの自動同期を再有効化

ノードがスナップショットを調整していない場合に configmap の調整を手動で再キュー

組み込み containerd を v1.7.6 にバンプ

組み込み stargz-snapshotter プラグインを最新にバンプ

テスト環境セットアップスクリプトの競合状態による断続的な drone CI の失敗を修正

Kubernetes 1.28 の API ディスカバリ変更による CI の失敗を修正

K3s の外部 apiserver リスナーは、kubernetes apiserver サービス、サーバーノード、または --tls-san オプションの値に関連付けられていないサブジェクト名を証明書に追加しないようになりました。これにより、証明書の SAN リストに不要なエントリが追加されるのを防ぎます。

K3s は、イングレスプロキシがクラスタ内エンドポイントへの接続をルーティングするために使用されていない場合、apiserver の enable-aggregator-routing フラグを有効にしなくなりました。

組み込み containerd を v1.7.3+k3s1 に更新

組み込み runc を v1.1.8 に更新

ユーザー提供の containerd 設定テンプレートは、{{ template "base" . }} を使用してデフォルトの K3s テンプレートコンテンツを含めることができるようになりました。これにより、ファイルに追加セクションを追加する必要がある場合にユーザー設定を維持しやすくなります。

golang の最近のリリースによって docker クライアントが送信する無効なホストヘッダーが拒否される問題を修正するために、docker/docker モジュールのバージョンをバンプ

kine を v0.10.2 に更新

バンドルされた helm コントローラーのジョブイメージで使用される helm のバージョンが v3.12.3 に更新されました

etcd のみのノードで apiserver/supervisor リスナーが 6443 でリクエストの提供を停止する可能性がある問題を修正するために dynamiclistener をバンプ

K3s の外部 apiserver/supervisor リスナーは、TLS ハンドシェイクで完全な証明書チェーンを送信するようになりました

新しい --tls-san-security オプションを追加。このフラグはデフォルトで false ですが、true に設定すると、クライアントが要求する任意のホスト名を満たすためにサーバーの TLS 証明書に SAN を自動的に追加することを無効にできます。

kubeadm スタイルのブートストラップトークンで参加したエージェントが、ノードオブジェクトが削除されたときにクラスターに再参加できない問題を解決しました。

k3s certificate rotate-ca コマンドは data-dir フラグをサポートするようになりました。

デフォルトの helm-controller ジョブイメージは、--helm-job-image CLI フラグで上書きできるようになりました

バージョンまたはヘルプフラグでコマンドをショートサーキット #7683

ローテーション認証チェックを追加し、エージェントの再起動機能を削除 #7097

E2E: RunCmdOnNodeのためのSudo #7686

バンドルされたmetrics-serverがv0.6.3にアップデートされ、デフォルトで安全なTLS暗号のみを使用するようになりました。

coredns-custom ConfigMapは、.:53デフォルトサーバーブロックに*.overrideセクションを含めることができるようになりました。

K3sのコアコントローラー（スーパーバイザー、デプロイ、ヘルム）は、管理者kubeconfigを使用しなくなりました。これにより、アクセスおよび監査ログからシステムによって実行されたアクションと管理者ユーザーによって実行されたアクションを区別しやすくなります。

klipper-lbイメージをv0.4.4にバンプし、Service ExternalTrafficPolicyがLocalに設定されている場合にlocalhostからServiceLBポートにアクセスできない問題を解決しました。

k3sをコンパイルする際にLBイメージを設定可能にする

K3sは、ノードパスワードシークレットがノード参加時に作成できない場合でも、クラスターにノードを参加させることができるようになりました。シークレットの作成はバックグラウンドで再試行されます。これにより、シークレット作成をブロックする失敗閉鎖の検証ウェブフックが新しいノードがクラスターに参加してウェブフックポッドを実行するまで利用できない場合に発生する可能性のあるデッドロックが解消されます。

バンドルされたcontainerdのaufs/devmapper/zfsスナップショッタープラグインが復元されました。これらは、前回のリリースでcontainerdをk3sマルチコールバイナリに戻す際に意図せず省略されました。

組み込みのヘルムコントローラーがv0.15.0にバンプされ、ターゲットネームスペースが存在しない場合にチャートのターゲットネームスペースを作成することをサポートするようになりました。

--Tls-sansは複数の引数を受け入れるようになりました: --tls-sans="foo,bar"

Prefer-bundled-bin: trueはconfig.yaml.dファイルに設定された場合に正しく動作するようになりました

K3sは、etcdから「学習者が多すぎる」エラーを受け取った場合にクラスター参加操作を再試行するようになりました。これは、複数のサーバーを同時に追加しようとしたときに最も頻繁に発生しました。

K3sは再びページサイズ> 4kのaarch64ノードをサポートします

パッケージされたTraefikバージョンがv2.9.10 / チャート21.2.0にバンプされました

K3sは、noexecでマウントされたファイルシステムから実行しようとしたときに、より意味のあるエラーを出力するようになりました。

サーバートークンがブートストラップトークンid.secret形式を使用している場合、K3sは適切なエラーメッセージで終了するようになりました。

Addon、HelmChart、およびHelmChartConfig CRDが構造的スキーマなしで作成され、これらのタイプのカスタムリソースが無効なコンテンツで作成される問題を修正しました。

(実験的な) --disable-agentフラグで開始されたサーバーは、トンネル認証エージェントコンポーネントを実行しようとしなくなりました。

ポッドおよびクラスターのイーグレスセレクターモードが正しく機能しない問題を修正しました。

新しいサーバーが管理されたetcdクラスターに参加するときに、現在のetcdクラスターのメンバーリストを取得する際のエラーを適切に処理するようになりました。

組み込みのkineバージョンがv0.10.1にバンプされました。これにより、レガシーlib/pqポストグレスドライバーがpgxに置き換えられました。

バンドルされたCNIプラグインがv1.2.0-k3s1にアップグレードされました。バンド幅およびファイアウォールプラグインがバンドルに含まれるようになりました。

組み込みのHelmコントローラーは、シークレットに保存された資格情報を介してチャートリポジトリに認証すること、およびConfigMapを介してリポジトリCAを渡すことをサポートするようになりました。

バンドルされたcontainerdおよびruncバージョンがv1.7.1-k3s1/v1.1.7にバンプされました

バンドルされたlocal-path-provisionerバージョンがv0.0.24にバンプされました

バンドルされたruncバージョンがv1.1.5にバンプされました

バンドルされたcorednsバージョンがv1.10.1にバンプされました

外部データストアを使用する場合、K3sは初期クラスターブートストラップデータを作成する際にブートストラップキーをロックし、複数のサーバーが同時にクラスターを初期化しようとしたときの競合状態を防ぎます。

アクティブなサーバーノードへの接続を維持するクライアントロードバランサーは、サーバーがクラスターから削除されたときに接続を閉じるようになりました。これにより、エージェントコンポーネントが直ちに現在のクラスターのメンバーに再接続することが保証されます。

クラスターリセット中の競合状態を修正し、操作がハングしてタイムアウトする問題を修正しました。

組み込みのkube-routerコントローラーが更新され、ホスト上のデフォルトのドロップ/拒否ルールによってポッドからのトラフィックがブロックされる回帰を修正しました。ユーザーは依然として外部管理のファイアウォールルールがポッドおよびサービスネットワークへのトラフィックを明示的に許可することを確認する必要がありますが、これは一部のユーザーが依存していた以前の動作に戻ります。

組み込みのkube-routerコントローラーが更新され、ホスト上のデフォルトのドロップ/拒否ルールによってポッドからのトラフィックがブロックされる回帰を修正しました。ユーザーは依然として外部管理のファイアウォールルールがポッドおよびサービスネットワークへのトラフィックを明示的に許可することを確認する必要がありますが、これは一部のユーザーが依存していた以前の動作に戻ります。

エージェントトンネル認証者は、ノードオブジェクトからkubeletポートを読み取る前にkubeletの準備が整うのを待つようになりました。

k3s certificate rotate-caチェックは、--forceオプションなしで自己署名証明書のローテーションをサポートするようになりました。

スケジュールされたetcdスナップショットは、数秒以内の短いランダムな遅延でオフセットされるようになりました。これにより、複数サーバークラスターがスナップショットリストConfigMapを同時に更新しようとする病理的な動作を防ぐことができます。スナップショットコントローラーもスナップショットリストの更新を試みる際により粘り強くなります。

組み込みのcri-dockerdがv0.3.1に更新されました

IPv6をデフォルトのIPファミリとして使用するクラスターで、apiserverの広告アドレスとIP SANエントリが正しく設定されるようになりました。

ServiceLBはServiceのExternalTrafficPolicyを尊重するようになりました。Localに設定されている場合、LoadBalancerはServiceのPodを持つノードのアドレスのみを広告し、他のクラスターのメンバーにトラフィックを転送しません。

組み込みのクラウドコントローラーマネージャーは、起動時に無条件に名前空間とサービスアカウントを再作成しようとしなくなりました。これにより、fail-closed Webhookが使用されている場合にデッドロッククラスターが発生する問題が解決されます。

K3sは、クラスターCA証明書が既存のルートまたは中間CAによって署名されている場合に正しく機能するようになりました。K3sが開始する前にそのような証明書を生成するためのサンプルスクリプトは、githubリポジトリのcontrib/util/certs.shにあります。

K3sはkubeadmスタイルの参加トークンをサポートするようになりました。k3s token createは、オプションで制限付きTTLを持つ参加トークンシークレットを作成します。

期限切れまたは削除されたトークンで参加したK3sエージェントは、ノードオブジェクトがクラスターから削除されない限り、NodeAuthorizationアドミッションプラグインを介して既存のクライアント証明書を使用してクラスターに残ります。

apiserver egressプロキシが、エージェントまたは無効モードでもエージェントトンネルを使用してサービスエンドポイントに接続しようとする問題を修正しました。

管理されたetcdのリーダー選出コントローラーがetcd専用ノードで実行されない問題を修正しました

クラスターまたはサービスがデュアルスタック操作を有効にしていない場合でも、ServiceLBがノードのIPv6アドレスを広告する問題を解決しました。

組み込みのkineバージョンがv0.9.9にバンプされました。コンパクションログメッセージは、可視性を高めるためにinfoレベルで省略されるようになりました。

K3sのデフォルトの暗号スイートは、kube-apiserverに明示的に渡されるようになり、すべてのリスナーがこれらの値を使用するようになりました。

組み込みのcontainerdバージョンがv1.6.15-k3s1にバンプされました

組み込みのcontainerdバージョンがv1.6.14-k3s1にバンプされました。これには、containerdの再起動時にポッドがCNI情報を失い、kubeletがポッドを再作成する原因となるcontainerd/7843の修正がバックポートされています。

K3sがホストツールよりもバンドルされたバイナリを強制的に使用する新しいprefer-bundled-binフラグを追加しました

組み込みのcontainerdバージョンがv1.6.10-k3s1に更新されました

ルートレスのport-driver、cidr、mtu、enable-ipv6、およびdisable-host-loopback設定は、環境変数を介して構成可能になりました。

組み込みのロードバランサーコントローラーイメージがklipper-lb:v0.4.0にバンプされ、https://kubernetes.io/docs/reference/kubernetes-api/service-resources/service-v1/#:~:text=loadBalancerSourceRanges[LoadBalancerSourceRanges]フィールドのサポートが追加されました。

組み込みのHelmコントローラーイメージがklipper-helm:v0.7.4-build20221121にバンプされました

--disable-cloud-controller フラグが設定されている場合、ポート10258での埋め込みcloud-controller-managerのメトリクスリスナーが無効になります。

K3sのパッケージ化されたコンポーネントのDeploymentは、一貫したアップグレード戦略とrevisionHistoryLimit設定を持つようになり、レプリカ数をハードコーディングすることでスケーリングの決定を上書きしません。

パッケージ化されたmetrics-serverがv0.6.2にバンプされました。

埋め込みk3s-rootバージョンがbuildroot 2022.08.1に基づいてv0.12.0にバンプされました。

埋め込みのswanctlおよびcharonバイナリが削除されました。ipsec flannelバックエンドを使用している場合は、k3sをアップグレードする前にノードにstrongswanのswanctlおよびcharonパッケージがインストールされていることを確認してください。

埋め込みcontainerdバージョンがv1.6.12にバンプされました。

apiserverネットワークプロキシの問題を修正し、kubectl execが時折error dialing backend: EOFで失敗する問題を修正しました。

apiserverネットワークプロキシの問題を修正し、カスタムkubeletポートが使用され、そのカスタムポートがファイアウォールやセキュリティグループルールによってブロックされている場合にkubectl execおよびkubectl logsが失敗する問題を修正しました。

有効にすると、Flannelトラフィックはノードの外部IPを使用するようになります。

これは、同じローカルネットワーク上にない分散クラスターでの使用を意図しています。