Kubernetes 1.10正式释出支援标準化储存并新增Pod安全性政策

开源Container调度平台Kubernetes释出了1.10版本，这个版本的重要更新包括支援标準化储存的Container储存介面（Container Storage Interface，CSI）、API聚合以及安全性的系列更新，而这也是CoreOS加入红帽（Red Hat）的第一个Kubernetes新版本。

Kubernetes增加新功能的步调，会在一开始加入Alpha版本，并在后续的Kubernetes更新中，依情况转为Beta版，最终成为稳定版加入Kubernetes的正式功能。Kubernetes开发团队特别提到，容器储存介面在Kubernetes 1.9时候加入，在1.10已经到了Beta版本，表示此功能进展快速。

Container储存介面能让使用者像安装Pod一样，轻鬆安装Volume插件，而这使得第三方储存供应商可以脱离Kubernetes的核心程式码限制，独立开发自家的解决方案。开发团队表示，此设计能维持Kubernetes生态系中的可扩展性。

同时，Durable（Non-shared）本地端储存管理在Kubernetes 1.10也成为Beta版，让非透过网路连结的本地端连接储存成为持久磁碟（Persistent Volume），提供使用者能以更高效能且低成本的方法，建立分散式档案系统与资料库。

持久磁碟在Kubernetes 1.10也有一些Beta更新，为确保储存API物件被以正确的顺序删除，现在Kubernetes能防止Pod使用中的持久磁碟宣告（Persistent Volume Claims）被删除，并防止被绑定在持久磁碟宣告的持久磁碟被删除。

而API聚合功能在Kubernetes 1.10成为稳定版，现在开发者可以自己定义API伺服器而不需要更改Kubernetes核心程式码。Kubernetes开发团队表示，这是一个强大的功能，开发人员拥有Kubernetes高度自订的能力，其所能提供的资源种类与Kubernetes核心有很大的不同，对于Kubernetes主要的扩充机制自订义资源（Custom Resource Definitions，CRDs）感到不够完备的使用者案例，API聚合可能是一个很好的解决办法。而稳定版也意味着，开发人员可以把这功能应用在产品阶段了。

Kubernetes 1.10也更新了Pod安全性政策。Kubernetes开发团队表示，Container为主机上的独立程序，开发者应停用不再执行的Container。而Kubernetes提供开发人员数种手段，以特殊权限存取主机，当这些手段被盗用将会成为攻击的媒介。而Pod安全政策目的在于，以名称空间限制Pod的执行种类，以减少攻击面。

在3月被揭露的CVE-2017-1002101安全漏洞，允许Container对档案系统存取任意得档案，也在Kubernetes 1.10获得修正。