业界要闻
- CNCF 公布 Kubernetes的安全审计报告,报告收集了社区对 Kubernetes、CoreDNS、Envoy、Prometheus 等项目的安全问题反馈,包含从一般弱点到关键漏洞。报告帮项目维护人员解决已识别的漏洞,并给出了一系列最佳实践。
- 技术监督委员会(TOC)已投票决定将 rkt 项目归档。尽管rkt 在2014年12月创建后最初很受欢迎,并在2017年3月贡献给CNCF,但其采纳程度已严重下降,很多用户已经从rkt转向了如containerd、CRI-O等其它项目。
上游重要进展
Kubernetes 项目
- 支持readonly的接口指定不同的网卡 https://github.com/kubernetes/enhancements/issues/1208
-
在Kubectl中进行pod问题定位分析:
https://github.com/kubernetes/enhancements/pull/1204/files
https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190212-ephemeral-containers.md#alternatives
方式:在运行时对已有的pod,新增一个ephemeral container挂载到这个pod的spec下面,然后status中也会有一个EphemeralContainers的debug容器信息- Debug Container Naming
- Container Namespace Targeting:shared process namespace
- Interactive Troubleshooting and Automatic Attaching:
官方举例了4个场景: - Operations:不需要预先在容器中安装诊断工具(更小的镜像)
- Debugging:当原有容器hang的时候,exec是执行不了的
- Automation:安全人员对指定范围的pod进行审计能力
- Technical Support: 多租集群的自动诊断工具,不需要node的admin权限
另外,kubectl支持namespace切换的插件 https://github.com/kubernetes/sample-cli-plugin
- Memory Manager for NUMA awareness https://github.com/kubernetes/enhancements/pull/1203 计划在kubelet中新增组件Memroy Manager用于支持内存和hugepage的numa-awareness,https://github.com/kubernetes/sample-cli-plugin
- kustomize成为kubectl的子命令 https://github.com/kubernetes/enhancements/blob/master/keps/sig-cli/kustomize-subcommand-integration.md
Istio 项目
Netflix 安全团队联合Google、CERT/CC向互联网披露了HTTP/2协议在被各个中间件服务实现过程中出现的 DDoS(分布式-拒绝服务攻击)漏洞的问题。这些攻击大多在HTTP/2传输层进行。Envoy及Istio确认受此影响,阿里云Istio on ACK已针对此次漏洞情况及时发布更新,并针对Istio部署、删除及升级进行了优化处理、提供了完整的控制台支持Istio网关的管理以及与虚拟服务的绑定,使用控制台可以完全支持开发一个完整的Istio应用,具体详见https://cs.console.aliyun.com/#/k8s/istio/lifecycle
Knative 项目
knative v0.8.0 发布,一些新的特新包括:
- Target Burst Capacity (TBC) support: 服务可以支持的最大请求量;可以应对突发流量到达的时候避免大量的请求排队
- service/route: Route只有从istio ingress可访问,才上报为ready
- queue-proxy sidecar会执行配置的readiness健康探测和默认的tcp检查,可以支持ms级别的频率检查,支持快速缩容到0: grace period可以设置为0
开源项目推荐
1 krew用来作为kubectl插件的包管理工具
https://github.com/kubernetes-sigs/krew/
https://github.com/kubernetes-sigs/krew-index
- 作为kubectl的使用者:类似apt、dnf和brew工具的能力,用于发现新插件、安装插件、卸载插件和查看已有安装的插件的能力。
- 作为kubectl的开发者:打包和分发插件到多个平台,让使用者可以看到。类似java的maven
krew-index的架构设计 https://github.com/kubernetes-sigs/krew/blob/master/docs/KREW_ARCHITECTURE.md
2 分布式内存文件系统 Alluxio 是开源分布式内存文件系统,现在成为开源社区中成长最快的大数据开源项目之一。其主要特点在于数据存储与计算的分离,两部分引擎可以进行独立的扩展。更多详情可参考:https://zhuanlan.zhihu.com/p/20624086
本周阅读推荐
- 微服务的实际模式,这是一篇杂烩文,虽然结构比较混乱,但是对微服务相关概念的介绍还是较为全面的。微服务能在企业中发挥积极作用。因此了解微服务架构(MSA)设计的一般目标或原则,以及一些微服务的设计模式,都是是很有意义的。
- 简单几招助您加速 ARM 容器应用开发和测试流程。今年早些时候,Docker公司与ARM公司宣布合作伙伴计划,为Docker的工具优化面向ARM平台的开发者体验。Docker开发者可以在x86桌面端为ARM设备构建容器镜像,并可将容器应用部署至云端、边缘以及物联网设备。整个容器构建流程非常简单,无需任何交叉编译步骤。
- 荷畔微风 - 在函数计算FunctionCompute中使用WebAssembly 。WebAssembly 是一种新的W3C规范,无需插件可以在所有现代浏览器中实现近乎原生代码的性能。同时由于 WebAssembly 运行在轻量级的沙箱虚拟机上,在安全、可移植性上比原生进程更加具备优势。同时资源消耗小、启动速度快的特点也非常适合Serverless的场景。开发者们开始探索WebAssembly在Serverless的应用场景。
- YAML 模版老去?Helm Chart 或将应用分发事实标准。Helm Chart 究竟是什么?相比 YAML 文件,它提出了怎样的概念,解决了怎样的问题?如何上手实践?
- 数千台服务器,千万用户量:居然之家两年云原生改造历程2009 年,居然设计家 (Homestyler) 研发团队正式成立;如今,十年已过,居然设计家正式更名为躺平设计家,用户量近千万。在两年多的云原生实践改造过程中,整个团队经历了从运维数千台服务器再到全部交付给云,从探索上云到利用 Serverless 和 Service Mesh 完成云原生改造,最终整体可用性达到三个 9 以上,同时 IT 费用削减了近一半,本文分享了躺平设计家的云原生实践历程。
本周报由阿里巴巴容器平台联合蚂蚁金服共同发布
本文作者:木苏、元毅、进超、王夕宁
责任编辑:木环
阿里云Kubernetes服务(ACK)是CNCF认证的 Kubernetes 服务平台,也是认证的服务提供商(KCSP),在Forrester和Gartner等分析师报告中,ACK是在国内企业级公有云容器平台排名第一,为众多国内外企业提供了稳定、可靠的云原生应用创新平台。更多详情点击了解:https://www.aliyun.com/product/kubernetes
云原生生态周报 Vol. 14 | K8s CVE 修复指南
云原生生态周报 Vol. 13 | Forrester 发布企业级容器平台报告
云原生生态周报 Vol. 12 | K8s 1.16 API 重大变更
云原生生态周报 Vol. 11 | K8s 1.16 早知道
云原生生态周报 Vol. 10 | 数据库能否运行在 K8s 当中?
云原生生态周报 Vol. 9 | K8s 1.15 后的性能提升
云原生生态周报 Vol. 8 | Gartner 发布云原生趋势
云原生生态周报 Vol. 7 | Docker 再爆 CVE
云原生生态周报 Vol. 6 | KubeCon EU 特刊
云原生生态周报 Vol. 5 | etcd性能知多少
云原生生态周报 Vol. 4 | Twitter 走向 K8s
云原生生态周报 Vol. 3 | Java 8 ️️ Docker