Categories
程式開發

雲原生生態週報 Vol. 35:Falco 進入 CNCF Incubator 項目


前言

《雲原生生態週報》由阿里雲容器平台聯合螞蟻金服共同發布,每週一期。眾多一線社區專家與您一起“跟踪動態,讀懂社區”,分享雲原生社區項目進展、活動發布、精選博客等信息。以下是第三十五期雲原生生態週報的內容。

業界要聞

  1. Falco 進入 CNCF Incubator 項目

原於 2018 年 8 月進入 sandbox,旨在 Kubernetes 運行時環境下支持配置規則來加強應用安全性、降低風險。

  1. Kubernetes v1.17.1 發布

解決部分 cloud provider 和 kubelet 相關問題,比如:

  1. CFP 2020 K8s Contributor Summit Amsterdam 開始徵集 talk

將與 KubeCon 2020 EU 同期進行,歡迎 K8s contributor 參會。

  1. Istio 1.14.3 發布

Istio 發布 1.4.3 版本,此版本修復看一些 bug 以提高系統魯棒性和用戶體驗。

上游重要進展

Kubenetes

  1. LoadBalancer Service 支持多種不同 protocol 類型的 port

目前一個 LoadBalancer Service 可以寫多個 port,但是這些 port 的類型必須相同,比如都是 tcp 或 udp。這個 PR 允許在一個 LoadBalancer Service 中定義多種不同類型的 port,以支持不同雲廠商提供的 service 服務。 (對應的 PR

  1. 解決組件特定 ComponentConfig 的配置問題

ComponentConfig 是支持編寫 Kubernetes-style 的配置文件,來給各種 Kubernetes 核心組件作為啟動配置,而不是直接通過命令行參數的方式配置,這個 KEP 是為了解決在編寫 ComponentConfig 的時候不同組件的特定配置問題。

  1. device manager 中增加 release api 接口

在 Kubelet devicemanager 中增加 release 接口,支持 device plugin 釋放已經分配給 Pod 的設備。


type Manager interface {

    // ...

    

    // Release release devices allocated to pods.

Release(pod *v1.Pod) error

}

  1. PDB status 中新增 conditions

conditions 用於上報當前 PDB 的一些狀態信息,比如 PodDisruptionBudgetFailure(Failure),用於 disruption controller 在 failSafe 階段上報狀態標識。


type PodDisruptionBudgetStatus struct {

    // ...

    

    // Conditions represents the latest available observations of a PDB's current state.

// +patchMergeKey=type

// +patchStrategy=merge

Conditions []PodDisruptionBudgetCondition

}

Istio

  1. 為Telemetry V2 開啟 TCP 元數據交換

Telemetry V2 依靠對等代理之間的元數據交換,以便它們可以在不依賴於 side lookup 的情況下產生豐富的遙測信息。 Istio 1.4 使用 “x-envoy-peer-metadata” http header 來支持 http 流量的元數據交換。 Istio 1.5 將支持 TCP 流量的元數據交換,該提案目前已經得到批准。

  1. 在 AuthorizationPolicy 實現 deny 和 exclude

Istioi 社區提出更改 AuthorizationPolicy 的 API,以支持拒絕 (deny) 和排除 (exclude) 語義。目標包括支持通過使用 AuthorizationPolicy 來拒絕請求,並支持在 AuthorizationPolicy 中使用否定匹配 (not_XXX)。用戶無需複製或修改其現有策略即可使用新功能。

  1. 可驗證的自定義屬性

在 SPIFFE 標識(service account 和 namespace)之外,允許客戶在 Istio 授權中創建和使用可驗證的自定義屬性。當前這個提案還處於早期階段,討論動機和用例,收集反饋,尚未開始設計。

開源項目推薦

  1. Flux

一個面向 GitOps 流程的 operator(CNCF sandbox 項目),支持監聽 Git 變化並自動觸發一系列打包部署等操作。

  1. Kubeless

符合原生 Kubernetes 模式的 serverless framework。安裝部署之後,只需要提交自己寫的 code 以及依賴給 kubeless cli,由 kubeless 負責部署運行。

本週閱讀推薦

  1. 《Manage Thousands of Clusters with GitOps and the Cluster API》

Weaveworks 團隊如何通過 GitOps 和 Cluster API 來管理數千個 Kubernetes 集群。其中 GitOps 正是使用了上面開源項目推薦中介紹的 Flux 工具,來把 GitOps 鏈路打通,並結合 Cluster API 組成了 GitOps 模式的多集群管理。

  1. 《Vault replication across multiple datacenters on Kubernetes》

本文介紹了基於 Kubernetes 之上,如何管理跨多個數據中心的 Vault 集群。

  1. 《Kubernetes Networking Demystified – A Brief Guide》

本文從一次網絡連接開始,介紹了 Kubernetes 中各類網絡鏈路和配置,包括 Service、Load balancer、kube-proxy、Pod 網絡等,推薦對 Kubernetes 網絡機制感興趣的同學閱讀。

  1. 《從零開始入門 K8s | GPU 管理和 Device Plugin 工作機制》

本文主要介紹 K8s 中 GPU 管理方式、如何為容器配置 GPU,以及對應的 Extended Resource 和 Device Plugin的工作原理。

  1. 《K8s 實踐 | 如何解決多租戶集群的安全隔離問題? 》

如何解決多租戶集群的安全隔離問題是企業上雲的一個關鍵問題,本文主要介紹了Kubernetes 多租戶集群的基本概念和常見應用形態,以及在企業內部共享集群的業務場景下,基於Kubernetes 原生和ACK集群現有安全管理能力快速實現多租戶集群的相關方案。

相關閱讀

雲原生生態週報 Vol. 34:VMware 完成 27 億美元的 Pivotal 收購
雲原生生態週報 Vol. 33:CNCF 宣布 TUF 畢業
雲原生生態週報 Vol. 32:Istio 1.5 版本開發中
雲原生生態週報 Vol. 31:Kubernetes v1.17 版本解讀
雲原生生態週報 Vol. 30:Rancher 新版本默認支持 Kubernetes 1.16
雲原生生態週報 Vol. 29:Kubernetes 擬支持 Cgroup v2
雲原生生態週報 Vol. 28:Mirantis 收購 Docker 企業業務
雲原生生態週報 Vol. 27:Helm 3 發布
雲原生生態週報 Vol. 26:2019 年容器生態統計報告發布
雲原生生態週報 Vol. 25:Canonical 開源 MicroK8
雲原生生態週報 Vol. 24:Ubuntu 19.10 發布
雲原生生態週報 Vol. 23:全球首個開放應用模型 OAM 開源
雲原生生態週報 Vol. 22:Knative 暫時不會捐給任何基金會
雲原生生態週報 Vol. 21:Traefik 2.0 正式發布
雲原生生態週報 Vol. 20:Kubernetes v1.16 發布
雲原生生態週報 Vol. 19:Helm 推薦用戶轉向 V3
雲原生生態週報 Vol. 18:獨家解讀 etcd 3.4 新特性
雲原生生態週報 Vol. 17 :Helm 3 發布首個 beta 版本
雲原生生態週報 Vol. 16:CNCF 歸檔 rkt,容器運行時“上古”之戰老兵凋零
雲原生生態週報 Vol. 15:K8s 安全審計報告發布
雲原生生態週報 Vol. 14:K8s CVE 修復指南
雲原生生態週報 Vol. 13 | Forrester 發布企業級容器平台報告
雲原生生態週報 Vol. 12 |K8s 1.16 API 重大變更
雲原生生態週報 Vol. 11 | K8s 1.16 早知道
雲原生生態週報 Vol. 10 | 數據庫能否運行在 K8s 當中?
雲原生生態週報 Vol. 9 | K8s 1.15 後的性能提升
雲原生生態週報 Vol. 8 | Gartner 發布雲原生趨勢
雲原生生態週報 Vol. 7 | Docker 再爆 CVE
雲原生生態週報 Vol. 6 | KubeCon EU 亮點匯總
雲原生生態週報 Vol. 5 | etcd 性能知多少
雲原生生態週報 Vol.4 | Twitter 從 Mesos 全面轉向 Kubernetes
雲原生生態週報 Vol. 3 | Docker Hub 遭入侵,Java 8 開始提供良好的容器支持
雲原生生態週報 Vol. 2 | Godaddy 開源 KES、CNCF 提供免費云原生課程
雲原生生態週報 Vol. 1 | Google 發布 Cloud Run,開源項目 Kubecost 讓 K8s 花費一目了然

本文轉載自阿里巴巴雲原生微信公眾號(ID:Alicloudnative)。