雲原生一週動態要聞:
- Istio 1.12 發佈
- CentOS 替代品 Rocky Linux 8.5 發佈
- Prometheus 推出 Agent 模式來適應新的使用場景
- Linux 基金會與 CNCF 推出新的在線培訓課程
- Antrea 1.4.0 發佈
- 開源項目推薦
- 文章推薦
雲原生動態
Prometheus 推出 Agent 模式來適應新的使用場景
日前,Prometheus 發佈了新的操作模式——Prometheus Agent,用來適應新的使用場景。這種新的模式能夠實現新的工作流程,如低資源環境、邊緣網絡和物聯網。它使用的資源明顯減少,能夠有效地將數據轉發到集中的遠程終端,同時使用數百萬 Prometheus 用戶所依賴的穩定代碼庫。
Prometheus Agent 是一種專門的模式,它專注於三個部分:服務發現、抓取和遠程寫入。Prometheus Agent 內置於 Prometheus 中,其行爲類似於普通的 Prometheus Server:它是一種基於拉取的機制,通過 HTTP 抓取指標並將數據複製到遠程寫入端點上。
Prometheus Agent 現已推出測試版。瞭解更多請參閱 Prometheus 博客。
Istio 1.12 發佈
日前,Istio 1.12 發佈。這是 2021 年的最後一個版本。Istio 1.12.0 正式支持 Kubernetes 1.19 至 1.22 版本。
以下是該版本的一些亮點:
- WebAssembly API:Istio 1.12 添加了一流的 API 來配置 WebAssembly 插件 WasmPlugin,使用 WasmPlugin,可以將自定義插件部署到單個代理,甚至整個網格
- 遙測 API:Istio 1.11 引入了一個全新的 Telemetry API,帶來了一個標準化的 API,用於在 Istio 中配置跟蹤、日誌記錄和指標。Istio 1.12 擴展了對 API 配置指標和訪問日誌記錄的支持
- 支持 Helm:Istio 1.12 改進了 Helm 的安裝支持
- Kubernetes Gateway API:Istio 已經增加了對 Kubernetes Gateway API v1alpha2 版本的全面支持。該 API 旨在統一 Istio、Kubernetes Ingress 和其他代理使用的各種 API,以定義一個強大的、可擴展的 API 來配置流量路由。
- 默認重試策略已被添加到 Mesh Config 中
- ···
CentOS 替代品 Rocky Linux 8.5 發佈
日前,Rocky 企業軟件基金會推出了 Rocky Linux 8.5,作爲另一個基於 Red Hat Enterprise Linux 的免費開源 CentOS 替代品。
Rocky Linux 8.5 引入了一項重要功能,用於大規模採用 CentOS Linux 替代方案,即安全啓動支持。除了安全啓動支持,Rocky Linux 8.5 版本還切換到 FastestMirror DNF 插件,以便在網絡安裝過程中爲用戶提供最快的鏡像,這意味着在使用僅啓動媒體時不需要存儲庫 URL。
Linux 基金會與 CNCF 推出在線培訓課程——Kubernetes 和雲原生基礎
Linux 基金會與雲原生基金會(CNCF)日前宣佈,上個月推出的 Kubernetes and Cloud Native Associate (KCNA) 考試現已全面接受報名和安排。
此外,新的在線培訓課程——Kubernetes and Cloud Native Essentials (LFS250) 也已經發布,爲個人擔任入門級雲職位和參加 KCNA 考試做準備。
新的培訓課程和 KCNA 認證旨在讓候選人準備好使用雲原生技術並獲得更多 CNCF 證書,包括認證 Kubernetes 管理員 (CKA)、認證 Kubernetes 應用程序開發人員 (CKAD)和認證 Kubernetes 安全專家 (CKS)。在 KCNA 考試中測試的具體知識包括:
- Kubernetes 基礎知識 (46%)
- 包括資源、架構、API、容器和調度
- 容器編排 (22%)
- 包括容器編排基礎知識、運行時、安全性、網絡、服務網格和存儲
- 雲原生架構 (16%)
- 包括雲原生架構基礎、自動擴展、無服務器、社區和治理、角色和開放標準
- 雲原生可觀察性 (8%)
- 遙測和可觀察性、Prometheus 和成本管理
- 雲原生應用交付 (8%)
- 應用交付基礎知識、GitOps 和 CI/CD
Antrea 1.4.0 發佈
Antrea 是一個基於 Open vSwitch(OVS)的開源 Kubernetes CNI 網絡解決方案,旨在爲 Kubernetes 集羣提供更高效、更安全的跨平臺網絡和安全策略。2021 年 4 月,Antrea 正式進入 CNCF 沙箱。
日前,Antrea 發佈了新版本 v1.4.0。主要包括增加 AntreaProxy 以支持完全替代 Kubernetes 原生 kube-proxy,和更靈活的 IPAM 模式,支持指定 Namespace 使用的 IPPool 控制 Pod IP 的分配,以及其他更新和修改。
以下是新版本的一些亮點:
- 支持完全替代 kube-proxy:在 Antrea v1.4.0 版本中,antrea-agent 增加了一個 “antreaProxy.proxyAll” 配置項,啓用該配置後 AntreaProxy 能夠完全替代 kube-proxy 代理所有 Service 流量。
- 更靈活的 IPAM 模式,支持指定 Namespace 使用的 IPPool 控制 Pod IP 的分配
- NodePortLocal 進一步增強:NodePortLocal 在本版本從 Alpha 升級到 Beta,並新增 UDP 協議的支持,實現更加健壯。
開源項目推薦
Kubernetes Security Profiles Operator
Kubernetes 的 seccomp 功能即將 GA,但目前的 seccomp 使用體驗很不好,Kubernetes Security Profiles Operator 這個項目的目標是填補 Kubernetes 中 seccomp 的使用空白,一方面提供更好的用戶體驗,另一方面提供更安全的安裝方式。
pwru
pwru 是一個基於 eBPF 的工具,用於追蹤 Linux 內核中的網絡數據包,具有高級過濾能力。
Configurator
Configurator 是一個版本控制和同步服務,用來保持 Kubernetes ConfigMaps 和 Secrets 與 Deployment 保持同步。
certinfo
certinfo 是一個 CLI 工具,用來查看 x509 證書信息。
文章推薦
《分佈式系統模式》中文版
《分佈式系統模式》(Patterns of Distributed Systems)是 Unmesh Joshi 編寫的一系列關於分佈式系統實現的文章。這個系列的文章採用模式的格式,介紹了像 Kafka、Zookeeper 這種分佈式系統在實現過程採用的通用模式,是學習分佈式系統實現的基礎。
使用 Cilium 和 eBPF 檢測容器逃逸
對於雲原生工作負載而言,安全至關重要,因爲這些服務可能屬於多個租戶,並時常需要暴露到公網。本文展示了一個能夠訪問 Kubernetes 集羣的攻擊者如何進行容器逃逸,並通過隱形 Pod 和無文件型惡意程序持續進行攻擊。並展示瞭如何使用 Isovalent Cilium 的可觀測性來檢測容器逃逸。
如何訪問容器中的文件系統?
這篇文章涵蓋了一系列訪問容器內部文件系統的方法,比如容器未能正確運行,可以查看文件系統中的日誌文件來檢測故障原因。
本文由博客一文多發平臺 OpenWrite 發佈!