云原生生态周报 Vol. 15 | K8s 安全审计报告发布
業界要聞
報告收集了社區對 Kubernetes、CoreDNS、Envoy、Prometheus 等項目的安全問題反饋,包含從一般弱點到關鍵漏洞。報告幫項目維護人員解決已識別的漏洞,并給出了一系列最佳實踐。
盡管 rkt 在 2014 年 12 月創建最初很受歡迎,并在 2017 年 3 月貢獻給 CNCF,但其采納程度已嚴重下降,很多用戶已經從 rkt 轉向了如 containerd、CRI-O 等其它項目。
上游重要進展
Kubernetes 項目
支持 readonly 的接口指定不同的網卡; https://github.com/kubernetes/enhancements/issues/1208
在 Kubectl 中進行 pod 問題定位分析;
https://github.com/kubernetes/enhancements/pull/1204/files
https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190212-ephemeral-containers.md#alternatives
方式:在運行時對已有的 pod,新增一個 ephemeral container 掛載到這個 pod 的 spec 下面,然后 status 中也會有一個 EphemeralContainers 的 debug 容器信息:
a. Debug Container Naming
b. Container Namespace Targeting:shared process namespace
c. Interactive Troubleshooting and Automatic Attaching:
官方舉例了4個場景:
a. Operations:不需要預先在容器中安裝診斷工具(更小的鏡像);
b. Debugging:當原有容器 hang 的時候,exec 是執行不了的;
c. Automation:安全人員對指定范圍的 pod 進行審計能力;
d. Technical Support: 多租集群的自動診斷工具,不需要 node 的 admin 權限。
另外,kubectl 支持 namespace 切換的插件 https://github.com/kubernetes/sample-cli-plugin
Memory Manager for NUMA awareness https://github.com/kubernetes/enhancements/pull/1203 計劃在 kubelet 中新增組件 Memroy Manager 用于支持內存和 hugepage 的 numa-awareness;https://github.com/kubernetes/sample-cli-plugin
kustomize 成為 kubectl 的子命令。 https://github.com/kubernetes/enhancements/blob/master/keps/sig-cli/kustomize-subcommand-integration.md
Istio 項目
Netflix 安全團隊聯合 Google、CERT/CC 向互聯網披露了 HTTP/2 協議在被各個中間件服務實現過程中出現的 DDoS (分布式-拒絕服務攻擊)漏洞的問題,這些攻擊大多在 HTTP/2 傳輸層進行。
Envoy 及 Istio 確認受此影響,阿里云 Istio on ACK 已針對此次漏洞情況及時發布更新,并針對 Istio 部署、刪除及升級進行了優化處理、提供了完整的控制臺支持 Istio 網關的管理以及與虛擬服務的綁定,使用控制臺可以完全支持開發一個完整的 Istio 應用,具體詳見 https://cs.console.aliyun.com/#/k8s/istio/lifecycle。
Knative 項目
knative v0.8.0 發布,一些新的特性包括:
- Target Burst Capacity (TBC) support: 服務可以支持的最大請求量;可以應對突發流量到達的時候避免大量的請求排隊;
- service/route: Route 只有從 istio ingress 可訪問,才上報為 ready;
- queue-proxy sidecar 會執行配置的 readiness 健康探測和默認的 tcp 檢查,可以支持 ms 級別的頻率檢查,支持快速縮容到 0: grace period 可以設置為 0。
開源項目推薦
https://github.com/kubernetes-sigs/krew/
https://github.com/kubernetes-sigs/krew-index
作為 kubectl 的使用者:類似 apt、dnf 和 brew 工具的能力,用于發現新插件、安裝插件、卸載插件和查看已有安裝的插件的能力。
作為 kubectl 的開發者:打包和分發插件到多個平臺,讓使用者可以看到。類似 java 的 maven
krew-index 的架構設計 https://github.com/kubernetes-sigs/krew/blob/master/docs/KREW_ARCHITECTURE.md
開源分布式內存文件系統,現在成為開源社區中成長最快的大數據開源項目之一。
其主要特點在于數據存儲與計算的分離,兩部分引擎可以進行獨立的擴展。更多詳情可參考:https://zhuanlan.zhihu.com/p/20624086
本周閱讀推薦
這是一篇雜燴文,雖然結構比較混亂,但是對微服務相關概念的介紹還是較為全面的。微服務能在企業中發揮積極作用。因此了解微服務架構(MSA)設計的一般目標或原則,以及一些微服務的設計模式,都是很有意義的。
今年早些時候,Docker 公司與 ARM 公司宣布合作伙伴計劃,為 Docker 的工具優化面向 ARM 平臺的開發者體驗。Docker 開發者可以在 x86 桌面端為 ARM 設備構建容器鏡像,并可將容器應用部署至云端、邊緣以及物聯網設備。整個容器構建流程非常簡單,無需任何交叉編譯步驟。
WebAssembly 是一種新的 W3C 規范,無需插件可以在所有現代瀏覽器中實現近乎原生代碼的性能。同時由于 WebAssembly 運行在輕量級的沙箱虛擬機上,在安全、可移植性上比原生進程更加具備優勢。同時資源消耗小、啟動速度快的特點也非常適合 Serverless 的場景。開發者們開始探索 WebAssembly 在 Serverless 的應用場景。
Helm Chart 究竟是什么?相比 YAML 文件,它提出了怎樣的概念,解決了怎樣的問題?如何上手實踐?
2009 年,居然設計家 (Homestyler) 研發團隊正式成立;如今,十年已過,居然設計家正式更名為躺平設計家,用戶量近千萬。在兩年多的云原生實踐改造過程中,整個團隊經歷了從運維數千臺服務器再到全部交付給云,從探索上云到利用 Serverless 和 Service Mesh 完成云原生改造,最終整體可用性達到三個 9 以上,同時 IT 費用削減了近一半,本文分享了躺平設計家的云原生實踐歷程。
本周報由阿里巴巴容器平臺聯合螞蟻金服共同發布
本文作者:木蘇、元毅、進超、王夕寧
責任編輯:木環
了解 ACK 容器服務,請查看https://www.aliyun.com/product/kubernetes
阿里云容器服務中國最佳,進入 Forrester 報告強勁表現者象限
總結
以上是生活随笔為你收集整理的云原生生态周报 Vol. 15 | K8s 安全审计报告发布的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 初探云原生应用管理之:聊聊 Tekton
- 下一篇: Serverless 的喧哗与骚动(一)