前言
《云原生生态周报》由阿里云容器平台联合蚂蚁金服共同发布,每周一期。众多一线社区专家与您一起“跟踪动态,读懂社区”,分享云原生社区项目进展、活动发布、精选博客等信息。以下是第三十五期云原生生态周报的内容。
业界要闻
原于 2018 年 8 月进入 sandbox,旨在 Kubernetes 运行时环境下支持配置规则来加强应用安全性、降低风险。
解决部分 cloud provider 和 kubelet 相关问题,比如:
将与 KubeCon 2020 EU 同期进行,欢迎 K8s contributor 参会。
Istio 发布 1.4.3 版本,此版本修复看一些 bug 以提高系统鲁棒性和用户体验。
上游重要进展
Kubenetes
目前一个 LoadBalancer Service 可以写多个 port,但是这些 port 的类型必须相同,比如都是 tcp 或 udp。这个 PR 允许在一个 LoadBalancer Service 中定义多种不同类型的 port,以支持不同云厂商提供的 service 服务。(对应的 PR)
ComponentConfig 是支持编写 Kubernetes-style 的配置文件,来给各种 Kubernetes 核心组件作为启动配置,而不是直接通过命令行参数的方式配置,这个 KEP 是为了解决在编写 ComponentConfig 的时候不同组件的特定配置问题。
在 Kubelet devicemanager 中增加 release 接口,支持 device plugin 释放已经分配给 Pod 的设备。
conditions 用于上报当前 PDB 的一些状态信息,比如 PodDisruptionBudgetFailure(Failure),用于 disruption controller 在 failSafe 阶段上报状态标识。
Istio
为 Telemetry V2 开启 TCP 元数据交换
Telemetry V2 依靠对等代理之间的元数据交换,以便它们可以在不依赖于 side lookup 的情况下产生丰富的遥测信息。 Istio 1.4 使用 “x-envoy-peer-metadata” http header 来支持 http 流量的元数据交换。Istio 1.5 将支持 TCP 流量的元数据交换,该提案目前已经得到批准。
在 AuthorizationPolicy 实现 deny 和 exclude
Istioi 社区提出更改 AuthorizationPolicy 的 API,以支持拒绝 (deny) 和排除 (exclude) 语义。目标包括支持通过使用 AuthorizationPolicy 来拒绝请求,并支持在 AuthorizationPolicy 中使用否定匹配 (not_XXX)。用户无需复制或修改其现有策略即可使用新功能。
可验证的自定义属性
在 SPIFFE 标识(service account 和 namespace)之外,允许客户在 Istio 授权中创建和使用可验证的自定义属性。当前这个提案还处于早期阶段,讨论动机和用例,收集反馈,尚未开始设计。
开源项目推荐
一个面向 GitOps 流程的 operator(CNCF sandbox 项目),支持监听 Git 变化并自动触发一系列打包部署等操作。
符合原生 Kubernetes 模式的 serverless framework。安装部署之后,只需要提交自己写的 code 以及依赖给 kubeless cli,由 kubeless 负责部署运行。
本周阅读推荐
Weaveworks 团队如何通过 GitOps 和 Cluster API 来管理数千个 Kubernetes 集群。其中 GitOps 正是使用了上面开源项目推荐中介绍的 Flux 工具,来把 GitOps 链路打通,并结合 Cluster API 组成了 GitOps 模式的多集群管理。
本文介绍了基于 Kubernetes 之上,如何管理跨多个数据中心的 Vault 集群。
本文从一次网络连接开始,介绍了 Kubernetes 中各类网络链路和配置,包括 Service、Load balancer、kube-proxy、Pod 网络等,推荐对 Kubernetes 网络机制感兴趣的同学阅读。
本文主要介绍 K8s 中 GPU 管理方式、如何为容器配置 GPU,以及对应的 Extended Resource 和 Device Plugin 的工作原理。
如何解决多租户集群的安全隔离问题是企业上云的一个关键问题,本文主要介绍了 Kubernetes 多租户集群的基本概念和常见应用形态,以及在企业内部共享集群的业务场景下,基于 Kubernetes 原生和 ACK 集群现有安全管理能力快速实现多租户集群的相关方案。
相关阅读
云原生生态周报 Vol. 34:VMware 完成 27 亿美元的 Pivotal 收购
云原生生态周报 Vol. 33:CNCF 宣布 TUF 毕业
云原生生态周报 Vol. 32:Istio 1.5 版本开发中
云原生生态周报 Vol. 31:Kubernetes v1.17 版本解读
云原生生态周报 Vol. 30:Rancher 新版本默认支持 Kubernetes 1.16
云原生生态周报 Vol. 29:Kubernetes 拟支持 Cgroup v2
云原生生态周报 Vol. 28:Mirantis 收购 Docker 企业业务
云原生生态周报 Vol. 26:2019 年容器生态统计报告发布
云原生生态周报 Vol. 25:Canonical 开源 MicroK8
云原生生态周报 Vol. 24:Ubuntu 19.10 发布
云原生生态周报 Vol. 23:全球首个开放应用模型 OAM 开源
云原生生态周报 Vol. 22:Knative 暂时不会捐给任何基金会
云原生生态周报 Vol. 21:Traefik 2.0 正式发布
云原生生态周报 Vol. 20:Kubernetes v1.16 发布
云原生生态周报 Vol. 19:Helm 推荐用户转向 V3
云原生生态周报 Vol. 18:独家解读 etcd 3.4 新特性
云原生生态周报 Vol. 17 :Helm 3 发布首个 beta 版本
云原生生态周报 Vol. 16:CNCF 归档 rkt,容器运行时“上古”之战老兵凋零
云原生生态周报 Vol. 13 | Forrester 发布企业级容器平台报告
云原生生态周报 Vol. 12 |K8s 1.16 API 重大变更
云原生生态周报 Vol. 11 | K8s 1.16 早知道
云原生生态周报 Vol. 10 | 数据库能否运行在 K8s 当中?
云原生生态周报 Vol. 9 | K8s 1.15 后的性能提升
云原生生态周报 Vol. 8 | Gartner 发布云原生趋势
云原生生态周报 Vol. 7 | Docker 再爆 CVE
云原生生态周报 Vol. 6 | KubeCon EU 亮点汇总
云原生生态周报 Vol.4 | Twitter 从 Mesos 全面转向 Kubernetes
云原生生态周报 Vol. 3 | Docker Hub 遭入侵,Java 8 开始提供良好的容器支持
云原生生态周报 Vol. 2 | Godaddy 开源 KES、CNCF 提供免费云原生课程
云原生生态周报 Vol. 1 | Google 发布 Cloud Run,开源项目 Kubecost 让 K8s 花费一目了然
本文转载自阿里巴巴云原生微信公众号(ID:Alicloudnative)。
中国开发者画像洞察研究报告 2024
分析开发者的行为模式、工作价值、职业发展等内容,帮助整个行业生态更深入地理解开发者,为他们提供更精准...
评论