「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些資訊。歡迎訂閱知乎專欄「k8s生態」。

Trivy v0.22.0 正式釋出

Trivy 是一款輕量級的漏洞掃描工具，支援包括容器映象，檔案系統，IaC 配置檔案等。在我之前的 『K8s生態週報』文章中已經介紹過多次，此處就不再展開了。我們一起來看看這個版本中有哪些值得關注的變更。

• 新增了一個 --offline-scan 的選項，在對 pom.xml 和 JAR 檔案進行掃描的時候，可以通過同時指定 --skip-update 和 --offline-scan 引數來避免 Trivy 去發起更新漏洞庫的請求。在離線環境或者網路不好的場景下會比較有用；
• 優化了記憶體的使用，在之前版本的邏輯中，如果對於大檔案也會直接進行讀取，有可能會造成 OOM 。本次修正了該問題，加入了一定的快取。如果你正在使用 Trivy ，我建議你進行更新；
• 再對 rpm 包掃描的時候， 支援了 NDB 格式 ， 對此格式感興趣的小夥伴可以去看看 rpm 專案的發版說明。

你可以直接去它的 Release 頁面下載最新的二進位制，也可以直接使用其容器映象。

(MoeLove) ➜ docker pull aquasec/trivy:0.22.0

對於此版本的其他變更，可參考其 ReleaseNote

Helm v3.7.2 釋出

Helm 最新一個大版本是 v3.7.0，但如果你去關注這個專案實際的變更，你會發現即使是大版本更新，也沒有攜帶特別值得有價值的內容。反倒是這個小版本中還帶來了一些值得注意的內容：

• 修復了一個 Helm upgrade 時，記憶體洩漏的問題，感興趣的小夥伴可以去圍觀下 https://github.com/helm/helm/...

至於之前版本中的變更，感興趣的小夥伴可以自行去看看其 ReleaseNote

Rook 釋出 v1.8 版本

Rook 是一個開源的，專用於 Kubernetes 平臺上儲存編排的元件。目前是 CNCF 畢業專案。在之前的 『K8s生態週報』中我也一直都有介紹，這裡就不展開了，大家有興趣的可以看看歷史文章。現在我們一起來看它的新版本中有哪些值得關注的內容吧。

首先是一些 Breaking Change：

• Rook 可以與 Kubernetes v1.16 或更高版本相容。這主要是由於其使用 CRD 的方式進行實現，而 Kubernetes 在 v1.22 版本中將舊的 API 已經移除，所以 Rook 將它使用的 API version 也已經升級到了 v1。在進 rook 升級操作的時候，如果當前的 Kubernetes 版本較低，則建議先升級 Kubernetes 叢集再升級 Rook。
• 在 v1.8 中對於 Ceph Nautilus 版本的支援已經移除，如果你之前有通過 Rook 部署的 Ceph Nautilus 版本的叢集，那麼建議先升級到 Octopus 或者 Pacific 版本，以便保證 Rook 可以正常的處理其版本。
• 現在已經完全使用 CSI 介面進行儲存管理了，之前 Rook 支援的 Flex 驅動已經徹底廢棄，如果想要進行遷移的小夥伴，可以參考 https://rook.github.io/docs/r...

此外還帶來了很多新的功能：

• 支援使用 HashiCorp Vault 時進行 Kubernetes 身份驗證；
• 為了提供更好的安全性，當前的 Rook operator 和 toolbox 容器都執行在 rook 使用者下，而非原先的 root 使用者下；
• Rook 映象中預設安裝了 s5cmd 工具，這是一個可以提供快速 S3 操作的工具，你可以在 https://github.com/peak/s5cmd 找到它。預設提供的 s5cmd 可以方便我們在 toolbox 中快速的驗證 S3 gateway 的功能；
• Rook 當前新增了一個 ceph.rook.io/disaster-protection finalizer 可用於阻止重要資源被意外刪除，如果想要刪除這些重要資源的話，需要如下步驟：

kubectl -n rook-ceph patch configmap rook-ceph-mon-endpoints --type merge -p '{"metadata":{"finalizers": [null]}}'
kubectl -n rook-ceph patch secrets rook-ceph-mon --type merge -p '{"metadata":{"finalizers": [null]}}'

以上就是關於 Rook v1.8 版本中值得關注的內容了，如果對其他變更感興趣，可以檢視其 ReleaseNote

上游進展

• Completely remove in-tree dockershim from kubelet by dims · #97252 這個 PR 中徹底移除了 kubelet 中 in-tree 的 dockershim，關於這個內容可以參考我之前的文章；
• Introduce new prune parameter into diff command by ardaguclu · #105164 這個 PR 中為 kubectl diff 增加了一個 --prune 引數，其行為類似於 kubectl apply --prune，會清理掉一些 managedFields 等內容，更容易觀察到真正的變更；
• Enable setting proxyurl in kubeconfig via kubectl config by ardaguclu · #105566 可以通過 kubectl config 設定 proxy-url, 這樣會比較方便一些部署在代理之後的叢集；

題外話

整體而言，近兩週沒有特別大的變更，一方面是由於已經到年底了，社群中大多數海外貢獻者基本已經休假。另一方面是由於基本上今年的目標已經完成，接下來的迭代重點會放在年後。

近期我會發布一篇內容，基於 2021 年 K8s 生態中值得關注的內容，以及整體的一些技術趨勢，進行 2021 年 K8s 生態的總結，以及對 2022 年 K8s 生態發展的預測，敬請期待！

歡迎訂閱我的文章公眾號【MoeLove】