前言
《雲原生生態週報》由阿里雲容器平臺聯合螞蟻金服共同發佈,每週一期。衆多一線社區專家與您一起“跟蹤動態,讀懂社區”,分享雲原生社區項目進展、活動發佈、精選博客等信息。以下是第十五期雲原生生態週報的內容。
業界要聞
-
CNCF 公佈 Kubernetes的安全審計報告,報告收集了社區對 Kubernetes、CoreDNS、Envoy、Prometheus 等項目的安全問題反饋,包含從一般弱點到關鍵漏洞。報告幫項目維護人員解決已識別的漏洞,並給出了一系列最佳實踐。
-
技術監督委員會(TOC)已投票決定將 rkt 項目歸檔。儘管rkt 在2014年12月創建後最初很受歡迎,並在2017年3月貢獻給CNCF,但其採納程度已嚴重下降,很多用戶已經從rkt轉向瞭如containerd、CRI-O等其它項目。
上游重要進展
Kubernetes 項目
- 支持readonly的接口指定不同的網卡
https://github.com/kubernetes/enhancements/issues/1208
- 在Kubectl中進行pod問題定位分析:
https://github.com/kubernetes/enhancements/pull/1204/files
方式:在運行時對已有的pod,新增一個ephemeral container掛載到這個pod的spec下面,然後status中也會有一個EphemeralContainers的debug容器信息
a. Debug Container Naming
b. Container Namespace Targeting:shared process namespace
c. Interactive Troubleshooting and Automatic Attaching:
官方舉例了4個場景:
a. Operations:不需要預先在容器中安裝診斷工具(更小的鏡像)
b. Debugging:當原有容器hang的時候,exec是執行不了的
c. Automation:安全人員對指定範圍的pod進行審計能力
d. Technical Support: 多租集羣的自動診斷工具,不需要node的admin權限
另外,kubectl支持namespace切換的插件 https://github.com/kubernetes/sample-cli-plugin
-
Memory Manager for NUMA awareness https://github.com/kubernetes/enhancements/pull/1203 計劃在kubelet中新增組件Memroy Manager用於支持內存和hugepage的numa-awareness,https://github.com/kubernetes/sample-cli-plugin
-
kustomize成爲kubectl的子命令
https://github.com/kubernetes/enhancements/blob/master/keps/sig-cli/kustomize-subcommand-integration.md
Istio 項目
Netflix 安全團隊聯合Google、CERT/CC向互聯網披露了HTTP/2協議在被各個中間件服務實現過程中出現的 DDoS(分佈式-拒絕服務攻擊)漏洞的問題。這些攻擊大多在HTTP/2傳輸層進行。Envoy及Istio確認受此影響,阿里雲Istio on ACK已針對此次漏洞情況及時發佈更新,並針對Istio部署、刪除及升級進行了優化處理、提供了完整的控制檯支持Istio網關的管理以及與虛擬服務的綁定,使用控制檯可以完全支持開發一個完整的Istio應用,具體詳見https://cs.console.aliyun.com/#/k8s/istio/lifecycle
Knative 項目
knative v0.8.0 發佈,一些新的特新包括:
- Target Burst Capacity (TBC) support: 服務可以支持的最大請求量;可以應對突發流量到達的時候避免大量的請求排隊
- service/route: Route只有從istio ingress可訪問,才上報爲ready
- queue-proxy sidecar會執行配置的readiness健康探測和默認的tcp檢查,可以支持ms級別的頻率檢查,支持快速縮容到0: grace period可以設置爲0
開源項目推薦
- krew用來作爲kubectl插件的包管理工具
https://github.com/kubernetes-sigs/krew/
https://github.com/kubernetes-sigs/krew-index
作爲kubectl的使用者:類似apt、dnf和brew工具的能力,用於發現新插件、安裝插件、卸載插件和查看已有安裝的插件的能力。
作爲kubectl的開發者:打包和分發插件到多個平臺,讓使用者可以看到。類似java的maven
krew-index的架構設計 https://github.com/kubernetes-sigs/krew/blob/master/docs/KREW_ARCHITECTURE.md
- 分佈式內存文件系統 Alluxio 是開源分佈式內存文件系統,現在成爲開源社區中成長最快的大數據開源項目之一。其主要特點在於數據存儲與計算的分離,兩部分引擎可以進行獨立的擴展。更多詳情可參考:https://zhuanlan.zhihu.com/p/20624086
本週閱讀推薦
-
微服務的實際模式,這是一篇雜燴文,雖然結構比較混亂,但是對微服務相關概念的介紹還是較爲全面的。微服務能在企業中發揮積極作用。因此瞭解微服務架構(MSA)設計的一般目標或原則,以及一些微服務的設計模式,都是是很有意義的。
-
簡單幾招助您加速 ARM 容器應用開發和測試流程。今年早些時候,Docker公司與ARM公司宣佈合作伙伴計劃,爲Docker的工具優化面向ARM平臺的開發者體驗。Docker開發者可以在x86桌面端爲ARM設備構建容器鏡像,並可將容器應用部署至雲端、邊緣以及物聯網設備。整個容器構建流程非常簡單,無需任何交叉編譯步驟。
-
荷畔微風 - 在函數計算FunctionCompute中使用WebAssembly 。WebAssembly 是一種新的W3C規範,無需插件可以在所有現代瀏覽器中實現近乎原生代碼的性能。同時由於 WebAssembly 運行在輕量級的沙箱虛擬機上,在安全、可移植性上比原生進程更加具備優勢。同時資源消耗小、啓動速度快的特點也非常適合Serverless的場景。開發者們開始探索WebAssembly在Serverless的應用場景。
-
YAML 模版老去?Helm Chart 或將應用分發事實標準。Helm Chart 究竟是什麼?相比 YAML 文件,它提出了怎樣的概念,解決了怎樣的問題?如何上手實踐?
-
數千臺服務器,千萬用戶量:居然之家兩年雲原生改造歷程2009 年,居然設計家 (Homestyler) 研發團隊正式成立;如今,十年已過,居然設計家正式更名爲躺平設計家,用戶量近千萬。在兩年多的雲原生實踐改造過程中,整個團隊經歷了從運維數千臺服務器再到全部交付給雲,從探索上雲到利用 Serverless 和 Service Mesh 完成雲原生改造,最終整體可用性達到三個 9 以上,同時 IT 費用削減了近一半,本文分享了躺平設計家的雲原生實踐歷程。
本週報由阿里巴巴容器平臺聯合螞蟻金服共同發佈
本文作者:木蘇、元毅、進超、王夕寧
責任編輯:木環
相關閱讀
雲原生生態週報 Vol. 14:K8s CVE 修復指南
雲原生生態週報 Vol. 13 | Forrester 發佈企業級容器平臺報告
雲原生生態週報 Vol. 12 |K8s 1.16 API 重大變更
雲原生生態週報 Vol. 11 | K8s 1.16 早知道
雲原生生態週報 Vol. 10 | 數據庫能否運行在 K8s 當中?
雲原生生態週報 Vol. 9 | K8s 1.15 後的性能提升
雲原生生態週報 Vol. 8 | Gartner 發佈雲原生趨勢
雲原生生態週報 Vol. 7 | Docker 再爆 CVE
雲原生生態週報 Vol. 6 | KubeCon EU 亮點彙總
雲原生生態週報 Vol. 5 | etcd 性能知多少
雲原生生態週報 Vol.4 | Twitter 從 Mesos 全面轉向 Kubernetes
雲原生生態週報 Vol. 3 | Docker Hub 遭入侵,Java 8 開始提供良好的容器支持
雲原生生態週報 Vol. 2 | Godaddy 開源 KES、CNCF 提供免費雲原生課程
雲原生生態週報 Vol. 1 | Google 發佈 Cloud Run,開源項目 Kubecost 讓 K8s 花費一目瞭然