雲原生生态周報 Vol. 11 | K8s 1.16 早知道

業界要聞

Pivotal 釋出了完全基于 Kubernetes 的 Pivotal Application Service（PAS）預覽版

這意味着 Pivotal 公司一直以來在持續運作的老牌 PaaS 項目 Cloud Foundry （CF）終于得以正式擁抱 Kubernetes。PAS 将 CloudFoundry 的核心控制平面完全移植到了 Kubernetes 之上，進而使得使用者可以使用 CF 聞名已久的 cf push APP 指令一鍵在 Kubernetes 上釋出應用；而與此同時，操作人員則可以通過 K8s API 來進行平台層的管理。

Linkerd 2.4 釋出 ：

Linkerd 2.4 釋出，此版本增加了流量分割和服務網格接口（SMI，Service Mesh Interface）支援；Linkerd 的新流量分割功能，允許使用者動态控制服務流量的百分比。這個功能強大的特性，可以通過 Kubernetes 服務之間請求流量的增量轉移，實作灰階和藍綠部署等政策。

上遊重要進展

1. Kubernetes 設計增強提議（KEP）

（a） PVC/PV 克隆在 K8s 1.16 即将 Beta：

https://github.com/kubernetes/enhancements/pull/1147

/>K8s 的 PVC/PVC 已經支援以克隆的形式建立，這使得使用者可以一鍵複制目前的容器應用在使用的整個存儲依賴（包括資料）。這個特性在測試、調試、搬遷等很多場景中都有需求。

（b） External credential providers：

https://github.com/kubernetes/enhancements/pull/1137

• k8s client 的認證方式現在隻有 kubeconfig 一種。目前上遊正在提議支援對接外部鑒權系統，以減少類似證書復原、證書儲存等問題；
• 支援 bearer tokens；支援 mTLS；等其他動态認證方式；
• 動态認證的配置通過 configmap 下發；其中包括認證系統的配置，工具等；

（c） Service Topology: add graduation criteria：

https://github.com/kubernetes/enhancements/pull/1132

/>

• 支援 k8s 服務拓撲感覺的流量管理，實作服務的“本地通路”，本地可能包括：同一個 region，同一個 node，同一個 ns 等；
• 需要支援“本地服務”的健康檢查，LB 規則等；考慮增加：PodLocator controller，kube-proxy 支援感覺服務的拓撲配置，dns 支援拓撲感覺；

2.  Kubernetes v1.16.0-alpha.1 釋出

其中幾個需要重點關注的更新包括：

• k8s 原生支援 api 響應壓縮；如果 client 請求 Header 中帶 

  Accept-Encoding: gzip

  ，且 response body 大于 128KB，那麼用戶端會接收到 GZIP 壓縮的響應；go client 預設支援，其他語言用戶端需要适配；參考( #77449 , @smarterclayton )
• 新增 runtimeclass admission controller，用來給 pod 配置特定 runtime 類型的 overhead，比如 kata 容器和 runc 的 pod overhead 就會差别很大；PodOverhead 在 1.16 中是一個 alpha 特性；參考( #78484 @egernst

3. knative 項目

（a）

簡化 eventing 的事件消費處理

: 社群正在計劃簡化事件消費處理，Google 正在進行原型的設計，後續會将相關代碼進行分享。

（b）

縮容時可配置自定義政策來選擇 pod 縮容

：暫定将在 1.0 版本提供 proposal

（c）

基于 Envoy Filter的Knative Activator 方案

：Istio Team 最近給 knative 提出的 Knative Activator 新方案，通過在 Ingress Gateway 的 Envoy 中加入一個特殊的 filter，來實作 Activator 的功能。目前正在進行 POC，通過 Mixer Adapter 來實作激活 Autoscaler。

開源項目推薦

1.  IBM 開源的 Serverless 方案 -- kabanero

kabanero 建構在 knative， istio，tekton之上，提供build、流量管理、CICD等能力，同時支援Eclipse codewind，Eclipse Che等IDE對接；目前主要面向 Java 生态。

2. kyverno， 一個 Kubernetes 原生的 Policy Engine 項目

（a） kyverno作為一個

dynamic admission controller

運作在k8s叢集中，接受 APIServer 的 Admission WebHook HTTP 回調請求，來比對類似資源的類型，名稱，标簽，資源規格等檢查政策；

• 可以看到，相比于 OPA，kyverno 更加輕量級，可以認為隻是 K8s 本身的 Policy 能力的一個封裝

（b） 這些檢查政策可以通過kyverno的自定義資源類型kyverno.io/v1alpha1來定義；

（c） 主要的使用場景是，可以對相同應用在不同部署環境做不同政策的 admission 的 validating 和 mutating

本周閱讀推薦

1. 《KUBERNETES 2020:  WHAT’S IN STORE FOR NEXT YEAR AND BEYOND?》

知名技術媒體釋出了對 Kubernetes 生态在 2020 年的趨勢預測，主要包括了三個重點方向：

（a） Serverless 架構

（b） 混合雲架構

（c） 端到端的 CI/CD 方案

1. 《 初探雲原生應用管理（二）: 為什麼你必須盡快轉向 Helm v3 》

Helm 是目前雲原生技術體系中進行應用管理最被廣泛使用的開源項目，沒有之一。根據 CNCF 剛剛釋出的 KubeCon EU 2019 的總結報告，Kubernetes（k8s），Prometheus 和 Helm 這三個項目，再次蟬聯 KubeCon 上最被關注的開源項目前三名。如果您還不了解 Helm V3，可以移步《

深度解讀Helm 3: 猶抱琵琶半遮面

1. 阿裡雲 Kubernetes CSI 實踐

我們知道 Kubernetes 中關于使用存儲卷的機制有 In-Tree、Flexvolume 模式，那為何還要提出 CSI 方式呢？CSI 标準使 K8S 和存儲提供者之間将徹底解耦，将存儲的所有的部件作為容器形式運作在 K8S 上，它具有怎樣的協定規範，如何部署及使用呢？