Falco 進(jìn)入 CNCF Incubator 項目 | 云原生生態(tài)周報 Vol. 35

作者 | 王思宇、陳潔、敖小劍

業(yè)界要聞

1. Falco 進(jìn)入 CNCF Incubator 項目

原于 2018 年 8 月進(jìn)入 sandbox，旨在 Kubernetes 運(yùn)行時環(huán)境下支持配置規(guī)則來加強(qiáng)應(yīng)用安全性、降低風(fēng)險。

1. Kubernetes v1.17.1 發(fā)布

解決部分 cloud provider 和 kubelet 相關(guān)問題，比如：

• kubelet 更新 Pod ready status 失敗
• kubelet 清理 Pod volumes 發(fā)生 panic

1. CFP 2020 K8s Contributor Summit Amsterdam 開始征集 talk

將與 KubeCon 2020 EU 同期進(jìn)行，歡迎 K8s contributor 參會。

1. Istio 1.14.3 發(fā)布

Istio 發(fā)布 1.4.3 版本，此版本修復(fù)看一些 bug 以提高系統(tǒng)魯棒性和用戶體驗。

上游重要進(jìn)展

Kubenetes

1. LoadBalancer Service 支持多種不同 protocol 類型的 port

目前一個 LoadBalancer Service 可以寫多個 port，但是這些 port 的類型必須相同，比如都是 tcp 或 udp。這個 PR 允許在一個 LoadBalancer Service 中定義多種不同類型的 port，以支持不同云廠商提供的 service 服務(wù)。（ 對應(yīng)的 PR）

1. 解決組件特定 ComponentConfig 的配置問題

ComponentConfig 是支持編寫 Kubernetes-style 的配置文件，來給各種 Kubernetes 核心組件作為啟動配置，而不是直接通過命令行參數(shù)的方式配置，這個 KEP 是為了解決在編寫 ComponentConfig 的時候不同組件的特定配置問題。

1. device manager 中增加 release api 接口

在 Kubelet devicemanager 中增加 release 接口，支持 device plugin 釋放已經(jīng)分配給 Pod 的設(shè)備。

type Manager interface {
    // ...
    // Release release devices allocated to pods.
    Release(pod *v1.Pod) error
}

1. PDB status 中新增 conditions

conditions 用于上報當(dāng)前 PDB 的一些狀態(tài)信息，比如 PodDisruptionBudgetFailure（Failure），用于 disruption controller 在 failSafe 階段上報狀態(tài)標(biāo)識。

type PodDisruptionBudgetStatus struct {
    // ...
    // Conditions represents the latest available observations of a PDB's current state.
    // +patchMergeKey=type
    // +patchStrategy=merge
    Conditions []PodDisruptionBudgetCondition
}

Istio

1. 為Telemetry V2 開啟 TCP 元數(shù)據(jù)交換

Telemetry V2 依靠對等代理之間的元數(shù)據(jù)交換，以便它們可以在不依賴于 side lookup 的情況下產(chǎn)生豐富的遙測信息。 Istio 1.4 使用 “x-envoy-peer-metadata” http header 來支持 http 流量的元數(shù)據(jù)交換。Istio 1.5 將支持 TCP 流量的元數(shù)據(jù)交換，該提案目前已經(jīng)得到批準(zhǔn)。

1. 在 AuthorizationPolicy 實現(xiàn) deny 和 exclude

Istioi 社區(qū)提出更改 AuthorizationPolicy 的 API，以支持拒絕 (deny) 和排除 (exclude) 語義。目標(biāo)包括支持通過使用 AuthorizationPolicy 來拒絕請求，并支持在 AuthorizationPolicy 中使用否定匹配 (not_XXX)。用戶無需復(fù)制或修改其現(xiàn)有策略即可使用新功能。

1. 可驗證的自定義屬性

在 SPIFFE 標(biāo)識（service account 和 namespace）之外，允許客戶在 Istio 授權(quán)中創(chuàng)建和使用可驗證的自定義屬性。當(dāng)前這個提案還處于早期階段，討論動機(jī)和用例，收集反饋，尚未開始設(shè)計。

開源項目推薦

1. Flux

一個面向 GitOps 流程的 operator（CNCF sandbox 項目），支持監(jiān)聽 Git 變化并自動觸發(fā)一系列打包部署等操作。

1. Kubeless

符合原生 Kubernetes 模式的 serverless framework。安裝部署之后，只需要提交自己寫的 code 以及依賴給 kubeless cli，由 kubeless 負(fù)責(zé)部署運(yùn)行。

本周閱讀推薦

1. 《Manage Thousands of Clusters with GitOps and the Cluster API》

Weaveworks 團(tuán)隊如何通過 GitOps 和 Cluster API 來管理數(shù)千個 Kubernetes 集群。其中 GitOps 正是使用了上面開源項目推薦中介紹的 Flux 工具，來把 GitOps 鏈路打通，并結(jié)合 Cluster API 組成了 GitOps 模式的多集群管理。

1. 《Vault replication across multiple datacenters on Kubernetes》

本文介紹了基于 Kubernetes 之上，如何管理跨多個數(shù)據(jù)中心的 Vault 集群。

1. 《Kubernetes Networking Demystified - A Brief Guide》

本文從一次網(wǎng)絡(luò)連接開始，介紹了 Kubernetes 中各類網(wǎng)絡(luò)鏈路和配置，包括 Service、Load balancer、kube-proxy、Pod 網(wǎng)絡(luò)等，推薦對 Kubernetes 網(wǎng)絡(luò)機(jī)制感興趣的同學(xué)閱讀。

1. 《從零開始入門 K8s | GPU 管理和 Device Plugin 工作機(jī)制》

本文主要介紹 K8s 中 GPU 管理方式、如何為容器配置 GPU，以及對應(yīng)的 Extended Resource 和 Device Plugin的工作原理。

1. 《K8s 實踐 | 如何解決多租 戶集群的安全隔離問題？》

如何解決多租戶集群的安全隔離問題是企業(yè)上云的一個關(guān)鍵問題，本文主要介紹了 Kubernetes 多租戶集群的基本概念和常見應(yīng)用形態(tài)，以及在企業(yè)內(nèi)部共享集群的業(yè)務(wù)場景下，基于 Kubernetes 原生和 ACK 集群現(xiàn)有安全管理能力快速實現(xiàn)多租戶集群的相關(guān)方案。

云原生實踐峰會即將開幕

“ 阿里巴巴云原生關(guān)注微服務(wù)、Serverless、容器、Service Mesh 等技術(shù)領(lǐng)域、聚焦云原生流行技術(shù)趨勢、云原生大規(guī)模的落地實踐，做最懂云原生開發(fā)者的公眾號。”