Kubernetes 是当前容器编排和管理的主流平台。在更注重稳定性的 1.6 之后，Kubernetes 1.7 带来了五十多个新功能，更侧重于联合、可扩展性、安全性以及部署、扩展和管理容器化应用的其他方式。

以下介绍一些使 Kubernetes 1.7 更稳定和更受欢迎的新功能。

Kubernetes 1.7 的主要功能

API 聚合：与 Kubernetes 1.6 相比，此功能的主要优点是可以与其他 Kubernetes API 聚合的由用户提供的 API 服务器。

聚合层使得可以在你的集群中安装更多 Kubernetes 样式的 API。这些 API 可以是预先构建的、已有的第三方解决方案，如服务目录，也可以是用户创建的 API，如 apiserver-builder。 API 聚合层在 kube-apiserver 中运行。

在扩展资源注册之前，聚合层不起作用。要注册 API，用户必须添加一个 API 服务对象，该对象在 Kubernetes API 中“声明” URL 路径。这时，聚合层将把任何发送到该 API 路径的东西（例如 /apis/myextension.mycompany.io/v1/...）代理到注册的 API 服务。

容器运行时接口（CRI）：随着 CRI 的改进，Kubernetes 添加了新的 RPC 调用以及一些增强功能，例如改进的可调试性、增加的容器和镜像文件系统指标或统计信息，可以帮助你从容器运行时检索容器指标。在 1.7 中添加的指标调用不允许 Kubelet 从容器运行时收集指标。预计 Kubelet 可以在 1.8 版本中从 API 中选择使用容器指标。

可扩展外部访问控制：这是此版本中添加的 alpha 功能。添加此功能的主要动机是为 API 服务器添加自定义业务逻辑，以便在创建和验证策略时更改对象。管理员和集成商现在可以定义自己的策略来允许内容进入他们的 Kubernetes 集群。

这是一个 alpha 功能，因此默认情况下禁用。要启用它，你需要在启动 apiserver 时在 -admission-control 标志中包含 “GenericAdmissionWebhook”。如果你有多个 kube-apiserver 副本，那么应该设置相同的标志。

考虑一个用例，你的基础架构需要所有 Pod 资源拥有一组通用的标签，并且你不希望任何 Pod 持久存储到 Kubernetes。如果这些需求没有满足，你可以写自己的外部准入 webhook 来进行验证并作出相应的响应。

加密 etcd 中的 secret：etcd 是一个强大的、一致的和高度可用的密钥值存储库，被 Kubernetes 用于所有 API 对象的持久存储。以前，所有 secret 都以明文形式存储在节点上的 tmpfs 文件中。不幸的是，任何可以访问 Kubernetes API 的用户都可以看到所有的 secret。

在本版本中，Kubernetes 添加了加密机制，允许对存储在 etcd 密钥值存储中的敏感数据在数据存储级别进行加密。这允许Kubernetes 的用户不仅可以对磁盘上的数据进行加密，还可以加密 etcd 中的数据，以防止恶意方通过 Kubernetes API 进行读取。

这种模块化的方法用来存储系统中的敏感信息和证书。    

限制节点访问 API：这个新加的功能，用于限制节点对 secret 和仅在该特定节点上运行的其他 Pod 信息的访问。这将防止未授权的节点在集群中全局访问 secret，这些未授权的节点只能修改自己的 Node API 对象和绑定到自己的 Pod 对象。

这也是一个改进的安全功能，可帮助机构限制跨节点访问敏感信息。这将是为数据和以安全为中心的应用而使用 Kubernetes 的另一个优势。 

网络策略 API：这一功能在此版本更加稳定，将帮助你定义 Pod 组可以如何彼此进行通信以及如何与其他网络端点进行通信。它由网络插件实现。资源使用标签来选择 Pod，并定义用于指定哪些流量可以为选定的 Pod 所用的规则。

审核日志改进：在此版本中，API 服务器存储的审核日志可以更加定制化和可扩展，支持事件过滤和 webhook。它们还提供更丰富的数据用于系统审核。这将帮助你从大量数据中过滤出有用的日志信息，更快地调试问题。

本地存储：这是有状态应用最常要求的功能之一，此次作为 alpha 功能引入。 标准 PVC / PV 接口和 StatefulSets 中的 StorageClasses 可以帮助你访问本地存储卷。这将有助于机构管理因为性能要求而需要本地存储的应用程序。

StorageOS 插件：新的 StorageOS Volume 插件提供了来自本地或附加节点存储的、高可用的、在整个集群范围持续的卷。StorageOS 可以为 Kubernetes 集群提供存储。StorageOS 作为容器在你的 Kubernetes 环境中运行，使得 Kubernetes 集群中的任何节点都可以访问本地存储。可以复制数据以提供节点故障保护。在核心，StorageOS 提供块存储。你可以选择安装什么文件系统类型来使设备在容器内可用。

Kubernetes 1.7 的其他功能

Kubelet TLS 引导：此版本现在支持客户端和服务器证书轮换。

StatefulSet：这是 1.7 中的一个新的 beta 功能，它允许有状态应用（如 Kafka，Zookeeper 和 etcd）使用一系列更新策略（包括滚动更新）自动更新。我们可以期待更好的性能，因为不需要通过 Pod Management Policies 订购而可以为应用提供更快的扩展和启动。

弃用了什么？

第三方资源（TPR）：Kubernetes 1.7 已经弃用第三方资源（TPR），替代为提供更整洁 API 的 Custom Resource Definitions（CRD）。这也有助于解决 TPR beta 期间出现的问题和受关注的用例。Kubernetes 社区已经预计在 1.8 版本中删除 TPR。因此，如果你使用 TPR beta 功能，请考虑将其迁移到 CRD。

Kubernetes 1.6 发布的重点是规模和自动化。Kubernetes 1.7 的目标是，提高安全性、存储和扩展功能，使 DevOps 程序更适合企业客户。这一最新版本显然正在为企业内部采用 Kubernetes 进一步打下基础。