業界要聞
- Docker Hub遭入侵,19萬賬號被洩露: 4月25日Docker官方郵件曝露,因為Hub的一個資料庫收到非授權訪問,影響了約19萬使用者的使用者名稱和雜湊後的密碼,以及使用者自動構建的Github和Bitbucket Token。Docker公司建議使用者修改其登入密碼。如果您在公有云上的應用依賴於來自 Docker Hub的映象,我們強烈建議您登入容器服務控制檯更新相應的docker login資訊或kubernetes secret。此外,阿里雲容器映象服務企業版提供網路訪問控制、獨享OSS Bucket加密儲存等安全加固功能,最大程度保障您的映象倉庫的安全。
- Java 8 終於開始提供良好的容器支援:長久以來,容器 和 Java 就像一對“歡喜冤家”。一方面,容器技術的“不可變基礎設施”特性為開發者帶來了無比寶貴的依賴與環境一致性保證;但另一方面, Linux 容器通過 Cgroups 對應用進行資源限制的方式跟所有依賴於 JVM 進行資源分配的程式語言都產生了本質的衝突。而就在上週,最近釋出的OpenJDK 映象 openjdk:8u212-jdk 終於能夠讓 Java 8 執行時在容器裡面為應用分配出合理的 CPU 數目和堆疊大小了。自此,釋出 Java 容器應用的痛苦經歷,可能要一去不復返了。
- Snyk 年度安全報告出爐,容器安全問題形勢空前嚴峻:知名開源安全廠商 Snyk 在年初發布了 2019 年度安全報告。報告中指出:“隨著容器技術在2019年繼續在IT環境中爆發式增長,針對容器安全的威脅正在迅猛增加,任何一家企業現在都必須比以往更加重視容器映象安全,並將此作為企業的首要任務”。報告詳情,請點選此處檢視全文。
上游重要進展
Kubernetes 專案
- Kubernetes 叢集聯邦 v1(Federation v1) 正式宣佈廢棄。K8s 社群近日宣佈將 Federation v1 程式碼庫正式廢棄。Federation v1 即 Kubernetes 專案原“叢集聯邦”特性,旨在通過一個統一的入口管理多個 Kubernetes 叢集。但是,這個特性逐步被設計成了在多個 Kubernetes 叢集之上構建一個 “Federation 層”的方式來實現,從而背離了 Kubernetes 專案的設計初衷。最終,在 RedHat、CoreOS、Google 等多位社群成員的推動下,社群開始全面擁抱 Federation v2:一個完全旁路控制、以 K8s API 為核心的多叢集管理方案。
- Kubernetes 1.15 進入釋出節奏 K8s 1.15 釋出進入日程,5 月30 日即將 Code Freeze(即:不接受任何功能性 PR)。
- [KEP] Ephemeral Containers KEP 合併,進入編碼階段。
Ephemeral container 旨在通過在 Pod 裡啟動一個臨時容器的方式,來為使用者提供對Pod和容器應用進行debug和trouble shooting的能力。這種通過“容器設計模式”而非 SSH 等傳統手段解決運維難題的思路,對於“不可變基礎設施”的重要性不言而喻,阿里巴巴在“全站雲化”過程中也採用了同樣的設計來解決類似問題。在上游完成該功能的編碼實現後,會通過 kubectl debug 命令方便使用者直接使用。
Knative 專案
- Knative 逐步棄用原 Build 專案。按照計劃,Tektoncd/Pipeline 子專案已經在 v0.2.0 時移除了對 Build 的依賴。最近,Knative Serving v1beta1 也移除了對 Build 的依賴,目前,社群已經開始制定棄用 Build 的確切方式並通知到 knative 開發者社群。
- knative 正在考慮為事件觸發(Trigger)引入更高階的規則和策略。 社群正在就 Advanced Filtering 設計一個 提案。該提案提議基於 CEL (Google 維護的一種表示式語言)來進行事件的過濾。具體來說,Trigger 的 filter 欄位會增加一個 Spec 欄位,然後在 Spec 欄位下使用 CEL 語法完成對事件的過濾規則定義。
Istio/Envoy 專案
- Istio 1.1.4本週正式釋出,其中一個重要的功能是更改了Pilot的預設行為,對出口流量的控制變化。除了之前通過Service Entry與配置特定範圍IP段來支援訪問外部服務,新版本中通過設定環境變數PILOT_ENABLE_FALLTHROUGH_ROUTE允許Envoy代理將請求傳遞給未在網格內部配置的服務。更多可以參考Istio流量管理實踐系列文章。
- Envoy正通過ORCA改善負載均衡的精準度。
目前Envoy可以用於進行負載均衡決策的資訊主要是權重和連線數等資訊,為了能讓Envoy的負載均衡更加精準需要為Envoy提供更多的決策因素。比如本地和遠端機器的負載情況、CPU、記憶體等資訊,更復雜的還可以利用應用程式特定的指標資訊來進行決策,比如佇列長度。而ORCA的目的是定義Envoy和上游代理之間傳遞這些資訊的標準。該功能的提出者希望ORCA可以成為Universal Data Plane API (UDPA)。 - Envoy正引入RPC去代替共享記憶體機制以便提高統計模組的的擴充套件性。
Envoy當下通過共享記憶體的方式來儲存stats資料的這種方式存在很多侷限性,比如需要限制stats使用固定的記憶體大小,當有大量叢集的時候沒辦法擴充套件。這給他升級stats子系統的架構帶來了不少的阻礙。因此他希望可以通過將stats資料以堆記憶體的方式來儲存,然後通過RPC在新老程式中傳遞。 - Envoy正在xDS協議中增加VHDS協議減小動態路由資訊的更新粒度。
現狀是,Envoy中的路由配置是通過RDS來動態更新的,但是RDS的粒度太粗了,包含了一個Listener下所有的路由配置資訊。由於一個Listener下面可能會有多個服務,每一個服務對應一個Virtual Host,因此在更新路由的時候,如果只是其中一個Virtual Host更新了,那麼會導致所有的路由配置都重新下發而導致通訊負荷偏重。引入VHDS就是為了只下發變化的路由資訊,從而將更新的路由配置資訊量縮小。
Containerd 專案
- Non-root使用者執行a href="github.com/containerd/…"> containerd: 近日,社群正在嘗試實現無需root許可權就可以執行containerd的能力。在這種場景下,使用者可以提前準備好容器所需要的 rootfs ,但是 containerd 服務端在清理容器時依然會嘗試去 unmount rootfs,對於沒有 root 許可權的 containerd 程式而言,該步驟必定會失敗(mount 操作必須要有 root 許可權)。目前 Pivotal 的工程師正在解決這個問題,這種 non-root 模式可以為解決雲上安全問題提供新的思路,
開源專案推薦
- 本週,我們向您推薦kubeCDN專案。
kubeCDN 專案是一個基於Kubernetes 實現的自託管 CDN 方案,只要將它部署在分佈在不同地域(Region) 的 Kubernetes 叢集上,你就擁有了一個跨地域進行內容分發的 CDN 網路。而更重要的是,通過 kubeCDN,使用者不再需要第三方的內容分發網路,從而重新控制了原本就屬於自己的從伺服器到使用者裝置的資料流。kubeCDN 目前只是一個個人專案,但是這裡體現出來的思想確實至關重要的:在不久的未來,每一朵雲、每一個資料中心裡都會佈滿 Kubernetes 專案,這將會成為未來雲時代基礎設施的“第一假設”。 推薦你閱讀 InfoQ 的解讀文章來進一步瞭解 kubeCND。
本週閱讀推薦
- 《Knative 入門——構建基於Kubernetes的現代化Serviceless應用》中文版,這是一本O’Reilly 出品的免費電子書,已經由 servicemesher 社群組織完成翻譯。提供 線上閱讀 和 PDF下載
- 信通院發起的雲原生產業聯盟出具《雲原生技術實踐白皮書》,白皮書系統性地梳理了雲原生概念、關鍵技術、應用場景、發展趨勢及實踐案例。PDF連結
- 《阿里雲 PB 級 Kubernetes 日誌平臺建設實踐》Kubernetes 近兩年來發展十分迅速,已經成為容器編排領域的事實標準,但是 Kubernetes 中日誌採集相對困難。本文來自InfoQ記者的採訪,文中談及瞭如何讓使用者專注在“分析”上,遠離瑣碎的工作。
- 《Istio Observability with Go, gRPC, and Protocol Buffers-based Microservices》,這是一篇很長的博文,介紹可以與Istio相適配的觀測性元件,用實際的例子演示瞭如何對以Go語言、Protobuf和gRPC為基礎的微服務框架進行全面的觀測。如果你還對Prometheus、Grafana、Jaeger和Kiali這幾個元件感到既熟悉又陌生,並且好奇如何把它們組合在一起使用來提升微服務的可觀測性,這個部落格的內容應該會對你很有幫助。
- 《雲原生的新思考:為什麼說容器已經無處不在了?》這篇文章在對雲原生技術總結的同時,對未來應用趨勢走向進行了展望。“雲原生不但可以很好的支援網際網路應用,也在深刻影響著新的計算架構、新的智慧資料應用。以容器、服務網格、微服務、Serverless 為代表的雲原生技術,帶來一種全新的方式來構建應用。”
名詞解釋:KEP - Kubernetes Enhancement Proposal, 即 Kubernetes 上游設計文件
本文為雲棲社群原創內容,未經允許不得轉載。