業界要聞
1.CNCF 公布
Kubernetes 的安全審計報告報告收集了社群對 Kubernetes、CoreDNS、Envoy、Prometheus 等項目的安全問題回報,包含從一般弱點到關鍵漏洞。報告幫項目維護人員解決已識别的漏洞,并給出了
一系列最佳實踐。
2.技術監督委員會(TOC)投票決定将
rkt 項目歸檔
盡管 rkt 在 2014 年 12 月建立最初很受歡迎,并在 2017 年 3 月貢獻給 CNCF,但其采納程度已嚴重下降,很多使用者已經從 rkt 轉向了如 containerd、CRI-O 等其它項目。
上遊重要進展
Kubernetes 項目
- 支援 readonly 的接口指定不同的網卡; https://github.com/kubernetes/enhancements/issues/1208
- 在 Kubectl 中進行 pod 問題定位分析; https://github.com/kubernetes/enhancements/pull/1204/files
方式:在運作時對已有的 pod,新增一個 ephemeral container 挂載到這個 pod 的 spec 下面,然後 status 中也會有一個 EphemeralContainers 的 debug 容器資訊:
- Debug Container Naming
- Container Namespace Targeting:shared process namespace
- Interactive Troubleshooting and Automatic Attaching:
官方舉例了4個場景:
a. Operations:不需要預先在容器中安裝診斷工具(更小的鏡像);
b. Debugging:當原有容器 hang 的時候,exec 是執行不了的;
c. Automation:安全人員對指定範圍的 pod 進行審計能力;
d. Technical Support: 多租叢集的自動診斷工具,不需要 node 的 admin 權限。
另外,kubectl 支援 namespace 切換的插件
https://github.com/kubernetes/sample-cli-plugin- Memory Manager for NUMA awareness https://github.com/kubernetes/enhancements/pull/1203 計劃在 kubelet 中新增元件 Memroy Manager 用于支援記憶體和 hugepage 的 numa-awareness;
- kustomize 成為 kubectl 的子指令。 https://github.com/kubernetes/enhancements/blob/master/keps/sig-cli/kustomize-subcommand-integration.md
Istio 項目
Netflix 安全團隊聯合 Google、CERT/CC 向網際網路披露了 HTTP/2 協定在被各個中間件服務實作過程中出現的 DDoS (分布式-拒絕服務攻擊)漏洞的問題,這些攻擊大多在 HTTP/2 傳輸層進行。
Envoy 及 Istio 确認受此影響,阿裡雲 Istio on ACK 已針對此次漏洞情況及時釋出更新,并針對 Istio 部署、删除及更新進行了優化處理、提供了完整的控制台支援 Istio 網關的管理以及與虛拟服務的綁定,使用控制台可以完全支援開發一個完整的 Istio 應用,具體詳見
https://cs.console.aliyun.com/#/k8s/istio/lifecycleKnative 項目
knative v0.8.0 釋出,一些新的特性包括:
- Target Burst Capacity (TBC) support: 服務可以支援的最大請求量;可以應對突發流量到達的時候避免大量的請求排隊;
- service/route: Route 隻有從 istio ingress 可通路,才上報為 ready;
- queue-proxy sidecar 會執行配置的 readiness 健康探測和預設的 tcp 檢查,可以支援 ms 級别的頻率檢查,支援快速縮容到 0: grace period 可以設定為 0。
開源項目推薦
1.kubectl 插件的包管理工具 krew
https://github.com/kubernetes-sigs/krew/ https://github.com/kubernetes-sigs/krew-index作為 kubectl 的使用者:類似 apt、dnf 和 brew 工具的能力,用于發現新插件、安裝插件、解除安裝插件和檢視已有安裝的插件的能力。
作為 kubectl 的開發者:打包和分發插件到多個平台,讓使用者可以看到。類似 java 的 maven
krew-index 的架構設計
https://github.com/kubernetes-sigs/krew/blob/master/docs/KREW_ARCHITECTURE.md2.
分布式記憶體檔案系統 Alluxio開源分布式記憶體檔案系統,現在成為開源社群中成長最快的大資料開源項目之一。
其主要特點在于資料存儲與計算的分離,兩部分引擎可以進行獨立的擴充。更多詳情可參考:
https://zhuanlan.zhihu.com/p/20624086本周閱讀推薦
1.《
微服務的設計模式》
這是一篇雜燴文,雖然結構比較混亂,但是對微服務相關概念的介紹還是較為全面的。微服務能在企業中發揮積極作用。是以了解微服務架構(MSA)設計的一般目标或原則,以及一些微服務的設計模式,都是很有意義的。
2.《
簡單幾招助您加速 ARM 容器應用開發和測試流程今年早些時候,Docker 公司與 ARM 公司宣布合作夥伴計劃,為 Docker 的工具優化面向 ARM 平台的開發者體驗。Docker 開發者可以在 x86 桌面端為 ARM 裝置建構容器鏡像,并可将容器應用部署至雲端、邊緣以及物聯網裝置。整個容器建構流程非常簡單,無需任何交叉編譯步驟。
3.《
荷畔微風 - 在函數計算 FunctionCompute 中使用 WebAssemblyWebAssembly 是一種新的 W3C 規範,無需插件可以在所有現代浏覽器中實作近乎原生代碼的性能。同時由于 WebAssembly 運作在輕量級的沙箱虛拟機上,在安全、可移植性上比原生程序更加具備優勢。同時資源消耗小、啟動速度快的特點也非常适合 Serverless 的場景。開發者們開始探索 WebAssembly 在 Serverless 的應用場景。
4.《
正式開放 | 阿裡雲10億級鏡像服務正式支援 Helm Charts,雲原生傳遞再加速!Helm Chart 究竟是什麼?相比 YAML 檔案,它提出了怎樣的概念,解決了怎樣的問題?如何上手實踐?
5.《
數千台伺服器,千萬使用者量:居然之家兩年雲原生改造曆程2009 年,居然設計家 (Homestyler) 研發團隊正式成立;如今,十年已過,居然設計家正式更名為躺平設計家,使用者量近千萬。在兩年多的雲原生實踐改造過程中,整個團隊經曆了從運維數千台伺服器再到全部傳遞給雲,從探索上雲到利用 Serverless 和 Service Mesh 完成雲原生改造,最終整體可用性達到三個 9 以上,同時 IT 費用削減了近一半,本文分享了躺平設計家的雲原生實踐曆程。
本周報由阿裡巴巴容器平台聯合螞蟻金服共同釋出
本文作者:木蘇、元毅、進超、王夕甯
責任編輯:木環
了解 ACK 容器服務,請檢視:
https://www.aliyun.com/product/kubernetes 阿裡雲容器服務中國最佳,進入 Forrester 報告強勁表現者象限
![IO模型淺析-阻塞、非阻塞、IO複用、信号驅動、異步IO、同步IO[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)