業界要聞
1.安全漏洞 CVE-2019-9512
CVE-2019-9514 http2 的 DOS 漏洞,一旦攻擊成功會耗盡伺服器的 cpu/mem,進而導緻服務不可用。
相關連結:
https://discuss.kubernetes.io/t/security-release-of-kubernetes-v1-15-3-v1-14-6-v1-13-10-cve-2019-9512-and-cve-2019-9514/7596/12.CNCF 對 rkt 項目進行歸檔
rkt 是 CoreOS 公司在 CNCF 早期捐獻出來的容器運作時項目。彼時 Docker 風頭正勁,一時無兩,開源社群一直希望 Docker 可以更多傾聽社群的聲音卻苦于當時 Docker 是容器運作時(開源)的唯一選擇。rkt 的出現給了社群和使用者一個 Alternative,為後來 CRI 等标準容器運作時的接入提供了一個理由。然而随着容器運作時标準的統一(CRI、CSI、CNI等),rkt 的社群活躍度大大降低,一些 CVE 也遲遲沒有修複,于是 CNCF 決定歸檔 rkt。目前 CNCF 中還有 2 個容器運作時項目:containerd 和 CRI-O。
https://www.cncf.io/blog/2019/08/16/cncf-archives-the-rkt-project/- GitHub 支援在 Azure 上使用 CI/CD 功能,将對公共的倉庫開發免費使用,相關功能包含: 授權、應用部署的方式、容器部署的方式、K8s 的部署方式等等(azure/actions (login), azure/appservice-actions,azure/container-actions,azure/k8s-actions)。
a.
https://github.blog/2019-08-08-github-actions-now-supports-ci-cd/b.
https://azure.microsoft.com/en-au/blog/announcing-the-preview-of-azure-actions-for-github/- Intel 釋出 K8s 的 GPU plugin,項目包含了 fpga/gpu/quickAssist。
5.orka 支援部署多個 MacOS VM
orka 采用 K8s 和容器化技術支援一台 Mac 的硬體部署多個 MacOS VM,友善 iOS 和 Mac 的開發人員。
https://www.macstadium.com/orka6.Helm Submmit 2019 日程确定
https://events.linuxfoundation.org/events/helm-summit-2019/program/schedule/7.VMware 收購 Pivotal
VMware 以每股 15 美元的價格收購 Pivotal 的 A 類普通股股票。Pivotal 早先以他們在 Cloud Foundry 中的工作成為 PaaS 領域的獨特力量,然而随着 Kubernetes 項目的全面成功,Pivotal 和 Cloud Foundry 不得不開始相容 Kubernetes。Pivotal 的 CTO 在采訪中也表示他們正在把一些 Pivotal 之前在做應用和容器化平台的經驗帶入到 K8s 當中。Kubernetes 相關議題将全面占據 8 月 25 日将在舊金山舉行 VMworld 2019,大會預計會超過 80 breakout sessions, expert roundtables。
a.收購資訊:
https://investors.pivotal.io/news/financial-news/press-release-details/2019/Pivotal-In-Discussions-With-VMware-Regarding-Potential-Business-Combination/default.aspxb.Pivotal CTO 談 K8s:
https://devclass.com/2019/08/16/pivotal-cto-kubernetes-means-were-all-distributed-systems-programmers-now/c.VMware2019 & Kubernetes:
https://cloud.vmware.com/community/2019/08/13/kubernetes-is-set-to-take-over-vmworld-us-2019-heres-what-to-see-and-do/上遊重要進展
1.支援 kube-apiserve r的 service,Kubernetes 能同時支援 clusterIP 和 externalName,讓 kube-apiserver 能通過 FQDN 被其他 Pod 直接通路。
KEP 連結:
https://github.com/kubernetes/enhancements/pull/1216相關類似 PR:
a.
https://github.com/kubernetes/kubernetes/pull/47588 https://github.com/kubernetes/kubernetes/pull/793122.request-faireness 文檔更新,主要是依據實作方案修改 KEP 文檔。
a.進度跟蹤:
https://github.com/kubernetes/kubernetes/issues/76846b.設計實作:
https://github.com/kubernetes/enhancements/blob/master/keps/sig-api-machinery/20190228-priority-and-fairness.md#design-detailsc.本次 PR
://github.com/kubernetes/enhancements/pull/12143.一批 Metric 被訂正。主要内容:
a.cAdvisor: 名額的 label"pod_name", "container_name" 改為 "pod", "container";
b.API latency histogram buckets: 之前是 125ms 到 8s, 範圍支援 [0.005 0.01 0.025 0.05 0.1 0.25 0.5 1 2.5 5 10];
a.kubelet: 修改 promethues 的名額類型 summary 為 histograms 等,機關變為秒;
b.kube-scheduler: 機關變為秒;
c.Kube-proxy: 機關變為秒,删除名額:DeprecatedNetworkProgrammingLatency;
d.kube-apiserver: apiserver_request_latency_seconds 的視窗變得更大,後續可以更精細化;
e.Convert latency/latencies in metrics name to duration;
f.Client-go: workingqueue 名額改名,符合名額監控規範。
i.[https://github.com/kubernetes/enhancements/issues/1206](https://github.com/kubernetes/enhancements/issues/1206)
ii.[https://github.com/kubernetes/community/blob/master/contributors/devel/sig-instrumentation/instrumentation.md](https://github.com/kubernetes/community/blob/master/contributors/devel/sig-instrumentation/instrumentation.md)
-
排程器相關 PR:
a.支援 binder plugin,寫了個預設實作;
https://github.com/kubernetes/kubernetes/pull/81593/files
b.增加了 cleanup 擴充點;
i.issue: [https://github.com/kubernetes/kubernetes/issues/81438](https://github.com/kubernetes/kubernetes/issues/81438)
ii.pr: [https://github.com/kubernetes/kubernetes/pull/81593/files](https://github.com/kubernetes/kubernetes/pull/81593/files)
c.排程隊列支援參數 maxBackoffDuration;
https://github.com/kubernetes/kubernetes/pull/81263d.Move RunNormalizeScorePlugins and ApplyScoreWeights into RunScorePlugins,其實就是一個小優化。
https://github.com/kubernetes/kubernetes/pull/81614/files5.Promote Node Zone/Region Topology Labels to GA
https://github.com/kubernetes/kubernetes/pull/814316.kube-apiserver 開始支援 CacheObject,避免重複的序列化開銷
https://github.com/kubernetes/kubernetes/pull/81585/commits7.kube-apiserver 支援調用 webhook 設定 context 逾時時間
https://github.com/kubernetes/kubernetes/pull/816028.apiserver 調用 webhook 的 metrics apiserver_admission_webhook_admission_duration_seconds 新增标簽(ignore_call_failure, call_failure and code)
https://github.com/kubernetes/kubernetes/pull/81399/files9.Block etcd client creation until connection is up #81435
https://github.com/kubernetes/kubernetes/pull/8143510.Enables resizing of block volumes
https://github.com/kubernetes/kubernetes/pull/81429/files開源項目推薦
1.k3sup:友善從一台機器上擷取 kubeconfig 的工具類。
連結:
https://github.com/alexellis/k3sup2.Gatekeeper:Policy Controller for Kubernetes,一個不同于 OPA 的 K8s 政策配置工具。
https://github.com/open-policy-agent/gatekeeper3.ktop : A visualized monitoring dashboard for Kubernetes,一個 K8s 的可視化監控 dashboard。
https://github.com/ynqa/ktop?utm_sq=g3i5hm4xyz4.System-validators。這是一個新的項目,旨在為 Kubeadm 提供一套安裝的 preflight check,看起來能夠幫助私有環境中部署 K8s 節省很多時間,對相關領域的從業人員會有很大幫助。
https://github.com/kubernetes/system-validators本周閱讀推薦
1.OPA Gatekeeper: Policy and Governance for Kubernetes。這篇部落格描述了如何使用 OPA Gatekeeper 在 K8s 中進行規則和政策配置。(例如:如何為使用者配置符合公司規定的操作權限?)
https://kubernetes.io/blog/2019/08/06/opa-gatekeeper-policy-and-governance-for-kubernetes/a.關于 OPA 還有另一篇文章推薦:How to enforce custom policies on Kubernetes objects using OPA。連結:
https://www.openpolicyagent.org/docs/latest/kubernetes-admission-control2.The Case for Virtual Kubernetes Clusters。虛拟化 K8s 叢集是目前社群和很多使用者十分關心的技術方案,主要的需求來源是多租戶。如果你對這方面不是很了解,閱讀這篇文章會有幫助。
https://thenewstack.io/the-case-for-virtual-kubernetes-clusters/?utm_source=tuicool&utm_medium=referral了解 ACK 容器服務,請檢視:
https://www.aliyun.com/product/kubernetes 阿裡雲容器服務中國最佳,進入 Forrester 報告強勁表現者象限