雲原生一週動態要聞:
- Dockershim 即將被廢棄
- Dapr v1.5 發佈
- 警告:攻擊者利用 SonarQube 漏洞盜取源碼
- OpenELB 進入 CNCF Sandbox
- 開源項目推薦
- 文章推薦
雲原生動態
Dockershim 即將被正式廢棄
日前,Kubernetes 宣佈將從 Kubernetes 代碼庫中刪除 dockershim,取而代之的是支持直接使用爲 Kubernetes 創建的容器運行時接口的運行時。
目前的計劃是 dockershim 將在 Kubernetes 1.24 版本中刪除,該版本定於明年 4 月左右發佈。對於那些開發或運行 alpha 和 beta 版本的人,dockershim 將在 12 月 1.24 版本開發週期開始時刪除。
Kubernetes 正在通過調查收集意見,以更好地瞭解用戶應對廢棄 dockershim 的準備情況。此調查將瞭解用戶當前使用的 Kubernetes 版本,以及用戶預計何時會採用 Kubernetes 1.24。有關 dockershim 廢棄準備情況的所有彙總信息將會發布。
Kubernetes 是一個成熟的項目。這種棄用是努力擺脫永久性測試版功能並提供更多穩定性和兼容性保證的又一步。廢棄 dockershim,用戶將獲得更多的靈活性和容器運行時功能的選擇,以及應用程序對特定底層技術的更少依賴。請花時間查看 dockershim 遷移文檔,並諮詢 Kubernetes 託管供應商(如果有的話)有哪些容器運行時可使用。
Dapr v1.5 發佈
日前,Dapr v1.5 發佈,這是自 Dapr v1.0 發佈以來的第五次小版本更新。
該版本有以下亮點:
- 組件升級爲 Stable 狀態
- 用於狀態管理的查詢 API
- 配置 API 構建塊
- Go SDK 中的 Actor
- Actors 可靠性改進
- 支持 ARM64 MAC(預覽版)
- 新增 components
警告:攻擊者利用 SonarQube 漏洞盜取國內多個機構的大量源碼
2021 年 10 月 22 日,國外知名媒體 cybernews 發文稱,有未知攻擊者攻擊並滲透了博世 iSite 的服務器,並盜取了這家制造業巨頭的 5G 物聯網連接平臺的源代碼。攻擊者聲稱通過利用 SonarQube 的零日漏洞獲取了這些源代碼,並提供了詳細的入侵過程截圖和盜取到的源代碼文件截圖。
遭殃的不止是這一家公司,攻擊者 25 號聲稱梅賽德斯-奔馳中國部門的部分源代碼也被他們竊取了。26 號,攻擊者又拿到了中國公安系統的醫療平臺、保險和人事的 SRC 源碼。
目前攻擊是否還在繼續,我們無法得知,已知的就是攻擊者利用了 SonarQube 的零日漏洞進行入侵,而且攻擊的都是我國的機構和企業。
目前該漏洞 (CNVD-2021-84502) 已被收錄進了國家信息安全漏洞共享平臺 (CNVD),並公開了漏洞細節。
OpenELB 進入 CNCF Sandbox
11 月 10 日,雲原生計算基金會 (CNCF) 宣佈由青雲科技 KubeSphere 團隊開源的負載均衡器插件 OpenELB 正式進入 CNCF 沙箱(Sandbox)託管。
OpenELB 項目在此前命名爲 PorterLB,是爲物理機(Bare-metal)、邊緣(Edge)和私有化環境設計的負載均衡器插件,可作爲 Kubernetes、K3s、KubeSphere 的 LB 插件對集羣外暴露 “LoadBalancer” 類型的服務,核心功能包括:
- 基於 BGP 與 Layer 2 模式的負載均衡
- 基於路由器 ECMP 的負載均衡
- IP 地址池管理管理
- 使用 CRD 進行 BGP 配置
開源項目推薦
Krustlet
Krustlet 是一個用來在 Kubernetes 上原生運行 WebAssembly 工作負載的 Kubelet,使用 Rust 語言開發。它會監聽 Kubernetes API,以獲取新的 Pod 請求,一旦 Pod 被調度到該節點,該節點的 Krustlet 就會運行 WebAssembly 工作負載。用戶必須爲應用程序生成 WebAssembly 二進制文件,並推送到容器鏡像倉庫。
Rover
Rover 是一個 Terraform 可視化工具,它通過解析你的 Terraform 配置文件來生成可視化界面。
composerize
composerize 是一個 CLI 工具,可以將 docker run 命令轉換爲 docker-compose 配置清單。
除了 CLI 之外還提供了一個可視化界面。
kube-lineage
kube-lineage 是一個 kubectl 插件,用來展示 Kubernetes 集羣資源的所有依賴資源或附屬資源。例如:
$ kube-lineage pod coredns-5cc79d4bf5-xgvkc --dependencies
NAMESPACE NAME READY STATUS AGE
kube-system Pod/coredns-5cc79d4bf5-xgvkc 1/1 Running 30m
├── Node/k3d-server True KubeletReady 30m
├── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system ├── ConfigMap/coredns - 30m
kube-system ├── ReplicaSet/coredns-5cc79d4bf5 1/1 30m
kube-system │ └── Deployment/coredns 1/1 30m
kube-system ├── Secret/coredns-token-6vsx4 - 30m
kube-system │ └── ServiceAccount/coredns - 30m
│ ├── ClusterRoleBinding/system:basic-user - 30m
│ │ └── ClusterRole/system:basic-user - 30m
│ ├── ClusterRoleBinding/system:coredns - 30m
│ │ └── ClusterRole/system:coredns - 30m
│ ├── ClusterRoleBinding/system:discovery - 30m
│ │ └── ClusterRole/system:discovery - 30m
│ ├── ClusterRoleBinding/system:public-info-viewer - 30m
│ │ └── ClusterRole/system:public-info-viewer - 30m
kube-system │ └── RoleBinding/system-unrestricted-svc-acct-psp-rolebinding - 30m
│ └── ClusterRole/system-unrestricted-psp-role - 30m
│ └── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system └── ServiceAccount/coredns - 30m
dstp
dstp 是一個 CLI 工具,用來對網站進行常規的網絡測試。
文章推薦
Kubernetes 是如何驗證自定義資源的
Kubernetes 除了內置 API 之外,還可以通過 CRD 創建自定義資源,API Server 在自定義資源運行之前是感知不到它的存在的,所以在運行之前對自定義資源進行驗證就顯得尤爲重要。本文花了很長的篇幅通過源碼來解析 API Server 對自定義資源的驗證過程。
使用 Istio 實現 OIDC 身份驗證
Istio 除了核心功能外,還支持通過 Envoy 來擴展配置。本文介紹瞭如何通過 Istio 的擴展配置爲服務網格內的應用配置 OpenID Connect (OIDC) 認證流程,以便將認證和授權都卸載給 Istio。
本文由博客一文多發平臺 OpenWrite 發佈!