前言

《云原生生态周报》由阿里云容器平台联合蚂蚁金服共同发布，每周一期。众多一线社区专家与您一起“跟踪动态，读懂社区”，分享云原生社区项目进展、活动发布、精选博客等信息。以下是第四十八期云原生生态周报的内容。

业界要闻

1. 重磅！阿里巴巴开源首个边缘计算云原生项目 OpenYurt

北京时间 5 月 29 日，在阿里云容器服务 ACK@Edge（边缘集群托管服务）发布一周年之际，阿里巴巴正式对外宣布将其核心能力开源，并向社区贡献完整的边缘计算云原生项目 —— OpenYurt。OpenYurt 是阿里巴巴首个边缘计算云原生开源项目，汇聚了阿里巴巴众多边缘计算业务团队的深厚技术积累，深度挖掘了“边缘计算 + 云原生落地实施“诉求。

2.Istio 1.6 正式 release

将 1.15 没有合并到 Istiod 的模块（Citadel，sidecar 注入，Galley）合并，支持 Istio 控制面上原地升级和金丝雀发布，提供了更丰富的 metric 输出，新增了 WorkloadEntry API 简化虚拟机支持等。

3.gke 引入容器安全风险检测的能力

gke 引入容器安全风险检测的能力（beta 阶段），目前包括二进制文件、lib 文件以及脚本文件的安全风险检测。

4.containerd 1.4.0-beta.0 发布

这是 containerd 的第 5 个大版本（预发布版本），此版本中包含了大量的新特性和漏洞修复。在 CRI 方面，同样也做了不少的变更：添加 Windows 容器进程的隔离；添加 CGroups v2 的支持；当监听到文件变化事件发生时，重启 CNI 网络配置等。

5.大规模秘钥管理（KES）介绍

作为云平台服务商的 KMS 系统和应用系统之间的桥梁，屏蔽多个云平台厂商的 KMSapi 的差异，KES 从 KMS 获取根秘钥信息等存储在内存中，用于代理 KMS处理无状态的加密和解密操作，减轻 KMS 的压力。

6. ARM 发布全新 CPU、GPU 和 NPU

ARM 于 26 日正式公布了其最新产品 Cortex-A78 CPU 和 Mali-G78 GPU，并表示将用于 2021 年及以后的下一代旗舰智能手机。ARM 透露，与 Cortex-A77 相比，Cortex-A78 适用于 5nm 工艺，性能提升 20%，功耗降低了 50%。这一性能能够满足目前 5G 严苛的电池消耗，同时适用于多个和更大屏幕的可折叠设备。

上游重要进展

1.Make NodeIPAM controller support varialble sized CIDRs

支持 NodeIPAM 控制器支持修改每个节点能分配的 pod 的 ip 的 cidr，算法采用 Interval Tree 来跟踪每个节点的 ip 的 cidr。

2.MCS: Add Headless support and graduation criteria

设计的一种满足多集群间的 service 的发现和分发需求。通过设计超级集群来作为服务发现注册中心，每个 member 将自己的服务独立注册到超级集群，同时 member 向超级集群注册自己关心的服务（import），同时让 kube-proxy 感知 import 和相关的 endpointslice，以此来实现多集群间的 cluster-ip 通信的能力。

3.Add Kustomize components KEP

将 Kustomize 类型作为 K8s 的官方资源，以此来实现 component 的概念。

4.Use new format for Structured Logging KEP

将 K8s 的日志结构化，输出为 json 格式，官方计划在 1.19 发布。

开源项目推荐

OpenYurt

openyurt 是基于阿里云容器服务 ACK@Edge（边缘集群托管服务）的一款边缘计算云原生基础设施管理框架。完全兼容上游 Kubernetes，并提供诸如边缘自治、高效运维通道、边缘单元化管理、边缘流量拓扑管理，异构资源支持等能力。

本周阅读推荐

1.《有状态部署慢？使用 openkruise 实现容器应用固定 id》

斗鱼介绍了他们如何通过切换到 OpenKruise 解决了原生 StatefulSet 的问题，以及 OpenKruise 带来的发布效率提升和接入使用 demo。

2.《Kubernetes Apply vs. Replace vs. Patch》

介绍 K8s 的 apply / replace / patch 操作背后的原理和推荐使用场景。

3.《Istio v1.6 深度解读：Simplify》

Istio 1.6 正式发布，距离 1.5 版本发布大约 2 个半月时间，本版本发布是自从去年 9 月份以来发布周期最为正常的一次版本，这归功于所有社区开发者共同的努力。

4.《从零入门 Serverless | Serverless 的价值》

本文了探讨了应用架构的演进，详述 Serverless 定义及概念。

5.《一文带你彻底厘清 Kubernetes 中的证书工作机制》

本文将试图以一种比官方文档更容易理解的方式来说明 Kubernetes 和证书（Certificate）相关的工作机制，如果你也存在这方面的疑惑，希望这篇文章对你有所帮助。

6.《Tekton 的工作原理》

结合源码和场景分析 Tekton 的工作原理。

相关阅读

本文转载自阿里巴巴云原生微信公众号（ID：Alicloudnative）。

创作场景

云原生生态周报 Vol. 48：OpenYurt 开源