Kubernetes 中升级 PHP 版本必须重建镜像并滚动更新Pod,不可热升级;应修改Deployment中image标签为新版本(如php:8.2-apache),同步更新扩展与配置路径,并经CI/CD扫描、灰度测试和CronJob验证后上线。
确认当前 PHP 镜像是否真的“可升级”
在 Kubernetes 中,“升级 PHP 版本”不是给运行中的 Pod 执行 apt upgrade php,而是重建容器镜像并滚动更新 Pod。如果你用的是官方 php:7.4-apache 这类基础镜像,它本身不支持热升级;如果你用的是自建镜像(比如基于 Ubuntu + 手动编译 PHP),那更危险——K8s 里改容器内二进制等于白忙,下次调度或重启就回退了。
所以第一件事是查清你用的镜像来源:
- 运行
kubectl get pod -o wide找到对应 Pod,再执行kubectl describe pod,看Image:字段是不是类似php:7.4-apache、myapp:v1.2或registry.example.com/php-app:202401 - 如果是带版本号的官方镜像(如
php:7.4-apache),直接换标签就行;如果是自定义镜像,必须重新构建并推送到镜像仓库 - 千万别在 Pod 里执行
docker exec -it xxx /bin/bash然后装新 PHP——这违反不可变基础设施原则,且 K8s 会随时 kill 并重建它
修改 Deployment 中的镜像标签并触发滚动更新
这是最常见也最稳妥的做法:把 image: php:7.4-apache 改成 image: php:8.2-apache,然后让 K8s 自动拉取、创建新 Pod、下线旧 Pod。
实操步骤:
立即学习“PHP免费学习笔记(深入)”;
- 编辑 Deployment:
kubectl edit deploy - 找到
spec.template.spec.containers[0].image行,把值改成目标 PHP 镜像,例如:php:8.2-apache或更精确的php:8.2.15-apache-bookworm(推荐带发行版后缀,避免底层系统差异) - 保存退出,K8s 会自动触发滚动更新;也可用命令一键替换:
kubectl set image deploy/php-container=php:8.2-apache - 观察状态:
kubectl rollout status deploy/,直到显示successfully rolled out
注意:如果用了 InitContainer、Sidecar 或 ConfigMap 挂载了 php.ini,这些不受影响;但若旧镜像里硬编码了扩展路径(如 extension_dir = "/usr/lib/php/20200930"),新 PHP 8.2 的 SO 文件路径可能是 /usr/lib/php/20220829,会导致 php -m 报错找不到模块——得同步更新 ConfigMap 或在 Dockerfile 里重写
PHP 扩展缺失或路径错乱怎么办
K8s 里升级 PHP 后最常见的报错不是语法错误,而是 PHP Warning: Module 'redis' already loaded 或 Call to undefined function redis_connect()。这是因为官方 PHP 镜像默认只带最精简扩展(core, date, pcre...),mysqli、pdo_mysql、redis、opcache 全得自己装。
正确做法不是进容器手动装,而是改 Dockerfile:
- 如果你用的是自建镜像,在
Dockerfile中基于新 PHP 基础镜像,用docker-php-ext-install安装必要扩展:RUN docker-php-ext-install mysqli pdo pdo_mysql opcache - Redis/Swoole 等需额外依赖的,先
apt-get update && apt-get install -y libzip-dev再pecl install redis,最后docker-php-ext-enable redis - 别用
apt install php-redis—— 在 Alpine 镜像中无效,在 Debian 镜像中可能装错 ABI 版本,导致undefined symbol: zend_empty_string
验证方式:进新 Pod 执行 kubectl exec ,确保输出有对应模块名,且 php -v 和 php --ini 显示的配置路径一致
为什么不能跳过测试直接上线
PHP 8.0+ 对类型、错误处理、魔术方法调用更严格,而 K8s 的滚动更新看似平滑,其实新旧 Pod 可能同时服务流量——这意味着部分请求走 PHP 7.4(正常),部分走 PHP 8.2(报 Fatal error: Uncaught TypeError),你看到的只是偶发 500,日志却分散在不同 Pod 里。
上线前必须做三件事:
- 在 CI/CD 流水线中加一道
php -l+phpstan analyse扫描,重点拦截mysql_connect()、create_function()、未声明返回类型的函数 - 用相同配置起一个临时
Deployment(比如叫test-php82),把线上流量按 5% 切过去(用 Istio 或 Nginx Ingress 的 canary 能力),观察错误率和慢日志 - 检查所有 CronJob 的 PHP 脚本——它们常被忽略,但一旦用
#!/usr/bin/env php调用,就会直连宿主机或旧镜像里的 PHP,导致定时任务静默失败
最容易被忽略的是:Ingress 控制器(如 Nginx Ingress)背后用的是 PHP-FPM,它的 image 和应用 Pod 是分开管理的;如果只升级了应用镜像,忘了升级 FPM Sidecar 或独立的 php-fpm Deployment,那所有 FastCGI 请求仍跑在旧 PHP 上
