# KLTS KLTS 全称为 Kubernetes Long Term Support,主要使命是为 Kubernetes 早期版本提供长期免费的维护支持。 之所以需要维护早期版本,是因为在实际生产环境中,最新版本不一定是最好的,也不是最稳定的。 正常而言,Kubernetes 社区版本的维护周期只有一年左右,请参阅 [Kubernetes 版本发行周期](#klts-release-cycle)。 在社区停止维护后,KLTS 在接下来的三年内提供免费维护服务。 在实际生产中,为什么大多数企业选择采用早期的 Kubernetes 版本管控集群呢? - 首先,升级频率高会带来变更风险,每次升级必须进行充分验证。 特别是金融行业的平台层变更周期通常比较长,因为一旦升级后的新版本存在 bug,就需要被迫回滚或快速响应升级至更新的版本,这样会造成不必要的成本支出。 - 其次,Kubernetes 升级后部分功能的替代方案还没有完全生产就绪,在生产环境中常会出现不兼容的状况。 - 最后,Kubernetes 社区仅支持小版本 +1 升级,不支持跨版本升级,因为跨版本升级经常会出现一些不可控的因素,造成更大的生产问题。 所以大多数企业的选择是沿用早期版本,不会贸然升级。 但 Kubernetes 社区只维护最新的 3 到 4 个版本,如何才能保证这些早期版本免受社区不定时发现的 CVE 漏洞和 bug 的袭扰呢? 这就是 KLTS 的价值所在!我们对早期版本提供长达 3 年的免费维护支持,积极修复早期版本的 CVE 安全漏洞和重大 bug。 ## KLTS 维护周期 {#klts-release-cycle} Kubernetes 版本号表示为 x.y.z,其中 x 是大版本号,y 是小版本号,z 是补丁版本,KLTS 提供的补丁版本号通常以 lts1、lts2 … ltsn 表示。为了方便表述,本节用前两位 x.y 描述 Kubernetes 版本号。 假设社区发布的最新 Kubernetes 版本为 x.y,根据[社区版本维护声明](https://kubernetes.io/zh-cn/releases/version-skew-policy/#supported-versions),社区仅维护最近的三个版本,而 KLTS 目前维护从 1.10 起的近十个早期版本,如下图所示。 ![k8s 维护等版本](https://docs.daocloud.io/daocloud-docs-images/docs/community/images/klts01.png) 当 Kubernetes 社区发现可能影响生产的 CVE 新漏洞或 bug,受到影响的可能不止是社区正在维护的版本,还有之前已经停止维护、但企业仍在使用、且不能贸然升级的版本,KLTS 团队维护的正是这些社区放弃维护的版本。目前 KLTS 的版本维护周期如下: ![klts 维护周期](https://docs.daocloud.io/daocloud-docs-images/docs/community/images/klts02.png) 从上图可看出,Kubernetes 社区对某个版本的维护周期通常在一年左右,而 KLTS 可以在接下来的三年内提供长期维护,直至代码无法兼容,才会将相应版本淘汰。 进一步了解 [Kubernetes 补丁发布周期](https://kubernetes.io/zh-cn/releases/patch-releases/)。 ## KLTS 修复范围 {#bug-fix} 有些高优先级的 CVE 或严重 Bug 存在于生产环境中会造成较大的安全隐患。 CVE 安全问题是集群的生命线,KLTS 会优先修复中高级别的 CVE,其次会修复重大 Bug,确保生产环境稳定运行。 以 2021 年 1 月发现的 [CVE-2021-3121](https://www.cvedetails.com/cve/CVE-2021-3121) 安全漏洞为例,CVSS 危急分数高达 7.5。 但截止 2021 年 9 月 Kubernetes 社区: - 仅修复了 4 个版本:1.18、1.19、1.20、1.21 - 宣称“所有早期版本均有这个安全漏洞,建议用户立即停止使用早期版本” - 拒绝[修复早期版本漏洞的要求](https://github.com/kubernetes/kubernetes/issues/101435) ![cve 漏洞](https://docs.daocloud.io/daocloud-docs-images/docs/community/images/klts03.png) KLTS 针对这一现状,默默修复了深受 [CVE-2021-3121](https://www.cvedetails.com/cve/CVE-2021-3121) 安全漏洞影响的 8 个早期版本: - v1.17.17 - v1.16.15 - v1.15.12 - v1.14.10 - v1.13.12 - v1.12.10 - v1.11.10 - v1.10.13 [了解 KLTS 社区](https://github.com/klts-io){ .md-button } [查阅 KLTS 官网](https://klts.io/){ .md-button }