阿裡巴巴 Kubernetes 能力再獲 CNCF 認可 | 雲原生生态周報 Vol. 32

作者 | 丁海洋  陳有坤 李鵬  孫健波

業界要聞

1. 阿裡巴巴 Kubernetes 技術能力再獲 CNCF 認可

CNCF 官網釋出博文《Demystifying Kubernetes as a Service – How Alibaba Cloud Manages 10,000s of Kubernetes Clusters》。這篇長文從為什麼需要超大數量的 K8s 叢集，以及如何高效的管理這些叢集出發，系統介紹了 Alibaba 在 Kubernetes 上取得的成績。

1. GitHub 欲在中國設立子公司

今年早些時候傳出多起 Github 封鎖伊朗、叙利亞、克裡米亞等地區的 Github 賬号，加上目前中美貿易戰的大背景，Github 背後的微軟需要為很多可能性進行準備。一個問題是：中國子公司真的可以在貿易戰白熱化的時候幫助微軟和中國開發者嗎？無論如何，多年來開源運動對目前 IT 技術的貢獻大家有目共睹，而 Github（依然）是聚集開發者最好的平台，我想每一個負責任的開發者，無論國籍，都應該好好思考未來可能會如何，做好應對。

上遊重要進展

Kubernetes

• Support external signing of service account keys

目前 K8s apiserver 還是從硬碟讀取 service account 的 keys，并在運作時儲存在記憶體中。鑒于現在 apiserver 已經支援驗證和釋出 projected volume tokens，我們可以考慮開始通過 API 支援外部簽發和校驗 token。

• Certificated API 改進

CSR（CertificateSigningRequest）支援多 signer。

Knative

Knative v0.11.0 版本已于 12 月 10 号正式釋出，下面兩篇文章将對新版本進行解讀，讓你快速對 v0.11.0 版本有所了解：

• Knative Serving 0.11.0 版本變更
• 解讀 Knative Eventing v0.11.0 新特性

Istio

Istio1.5 開發中，計劃一月中 code freeze , 二月中釋出。

• 備受矚目的 Mixer v2 正在緊鑼密鼓地開發中：其中使用 V8 的 Telemetry v2 預計将在 1.5 版本中達到 alpha 狀态；
• 引入 更好的傳輸安全 ：Istio 使用 mTLS 在網格内的工作負載之間提供傳輸安全性。但是目前 Istio 的某些架構選擇導緻了相當大的實作複雜性、設計混亂和協定沖突。這個 Proposal 指出了一些現有的難題，并探讨可能的解決方案。

其他内容更新：

• 社群新提出的 Istio meta API ，用于支援 Envoy 協定路由：提供 Envoy 的 Extensions，其中 protocol filter 的作者僅解析 metadata（headers），并作為 attributes 公開給架構；而架構可以完全基于屬性來路由流量，無需了解協定。這個提案目前處于非常早期的讨論中；
• Istio Config API Versioning Design ：從 1.11 開始，Kubernetes 支援在 CustomResourceDefinition（CRD）中指定多個版本。 在 1.15 中，對 Conversion Webhook 的支援處于 beta 狀态，預計将在 1.16 中穩定。 Istio API 目前隻具備單個版本，随着 Istio 的 API 變得越來越成熟，需要為每個 Istio API 支援多個版本。這将使 Istio 在改進 API 的同時仍能支援可能正在使用舊版 API 的使用者。

開源項目推薦

1. ansible/awx

這是 Red Hat 釋出的對其内部的 Ansible Tower 系統的開源實作，有興趣的同學可以去看一下。

1. oam/admission-controller

一個 Go 語言開發的 K8s Admission Controller 為 OAM 标準 spec 提供轉換和校驗的功能，該開源項目不僅可以用于 OAM 的 spec 校驗，也可以用來學習如何編寫一個 K8s Admission Controller。

本周閱讀推薦

1. 《Run Ansible Tower or AWX in Kubernetes or OpenShift with the Tower Operator》

Ansible Tower是Red Hat内部的自動化Ansible平台的核心元件，AWX是Ansible Tower的開源實作，兩者的關系類似Fedora和RHEL。這篇文章使用一個Operator來建立和管理試用版的Ansible Tower。

1. 《Develop a Kubernetes controller in Java》

一篇來自 K8s 官方的 Blog，介紹了如何使用 Kubernetes Java SDK 來開發 Kubernetes Controller。

1. 《Chaos Engineering: the history, principles and practice》

混沌工程是在大規模複雜系統中尋找問題的最佳實踐，這篇文章系統介紹了混沌工程的曆史、原則以及實踐中需要注意的問題。

https://www.gremlin.com/chaos-engineering/

1. 《What I learned from Reverse Engineering Windows Containers》

在 Docker 開啟容器技術大潮的時候，Windows 是有一點落後的，但不出意外的，微軟很快釋出了支援 Windows 的容器技術。除了一些官方的文檔，關于 Windows container 的技術細節是很少的，本文作者通過 reverse engineering 解析了 Windows 容器在程序、檔案調用、系統調用等方面的一些細節，對這方面感興趣的同僚不要錯過。

1. 《Highlights from KubeCon US and Re:Invent 2019 + Live WKP Demo》

Weaveworks 自己總結了一篇 KubeCon US 和 ReInvent: 2019 的一些 highlight，當然也不忘 promote 自己一下，有興趣的同學可以看看。

1. 《虛拟化 Pod 性能比裸機還要好，原因竟然是這樣！》

VMware 在 VMworld 上宣布的太平洋項目 (Project Pacific)。根據其官博上釋出的資訊，太平洋項目中通過虛拟化實作的 Native Pods，比實體機（裸機）上 Kubernetes 的 pod 有 8％ 的性能提升！這個内容是十分搶眼的，因為不是很符合邏輯。這篇文章解釋了這個性能提升的原因，簡單的說，就是用好 NUMA。

1. 《Knative Serverless 之道：如何 0 運維、低成本實作應用托管？》

Knative 作為最流行的應用 Severlesss 編排引擎，其中一個核心能力就是其簡潔、高效的應用托管服務。阿裡雲的工程師在該分享中對此進行了詳細的講解。

“ 阿裡巴巴雲原生 關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，做最懂雲原生開發者的技術圈。”