Falco 进入 CNCF Incubator 项目 | 云原生生态周报 Vol. 35
作者 | 王思宇、陈洁、敖小剑
业界要闻
原于 2018 年 8 月进入 sandbox,旨在 Kubernetes 运行时环境下支持配置规则来加强应用安全性、降低风险。
解决部分 cloud provider 和 kubelet 相关问题,比如:
将与 KubeCon 2020 EU 同期进行,欢迎 K8s contributor 参会。
Istio 发布 1.4.3 版本,此版本修复看一些 bug 以提高系统鲁棒性和用户体验。
上游重要进展
Kubenetes
目前一个 LoadBalancer Service 可以写多个 port,但是这些 port 的类型必须相同,比如都是 tcp 或 udp。这个 PR 允许在一个 LoadBalancer Service 中定义多种不同类型的 port,以支持不同云厂商提供的 service 服务。(对应的 PR)
ComponentConfig 是支持编写 Kubernetes-style 的配置文件,来给各种 Kubernetes 核心组件作为启动配置,而不是直接通过命令行参数的方式配置,这个 KEP 是为了解决在编写 ComponentConfig 的时候不同组件的特定配置问题。
在 Kubelet devicemanager 中增加 release 接口,支持 device plugin 释放已经分配给 Pod 的设备。
type Manager interface {
// ...
// Release release devices allocated to pods.
Release(pod *v1.Pod) error
}
conditions 用于上报当前 PDB 的一些状态信息,比如 PodDisruptionBudgetFailure(Failure),用于 disruption controller 在 failSafe 阶段上报状态标识。
type PodDisruptionBudgetStatus struct {
// ...
// Conditions represents the latest available observations of a PDB's current state.
// +patchMergeKey=type
// +patchStrategy=merge
Conditions []PodDisruptionBudgetCondition
}
Istio
- 为Telemetry V2 开启 TCP 元数据交换
Telemetry V2 依靠对等代理之间的元数据交换,以便它们可以在不依赖于 side lookup 的情况下产生丰富的遥测信息。 Istio 1.4 使用 "x-envoy-peer-metadata" http header 来支持 http 流量的元数据交换。Istio 1.5 将支持 TCP 流量的元数据交换,该提案目前已经得到批准。
- 在 AuthorizationPolicy 实现 deny 和 exclude
Istioi 社区提出更改 AuthorizationPolicy 的 API,以支持拒绝 (deny) 和排除 (exclude) 语义。目标包括支持通过使用 AuthorizationPolicy 来拒绝请求,并支持在 AuthorizationPolicy 中使用否定匹配 (not_XXX)。用户无需复制或修改其现有策略即可使用新功能。
- 可验证的自定义属性
在 SPIFFE 标识(service account 和 namespace)之外,允许客户在 Istio 授权中创建和使用可验证的自定义属性。当前这个提案还处于早期阶段,讨论动机和用例,收集反馈,尚未开始设计。
开源项目推荐
一个面向 GitOps 流程的 operator(CNCF sandbox 项目),支持监听 Git 变化并自动触发一系列打包部署等操作。
符合原生 Kubernetes 模式的 serverless framework。安装部署之后,只需要提交自己写的 code 以及依赖给 kubeless cli,由 kubeless 负责部署运行。
本周阅读推荐
Weaveworks 团队如何通过 GitOps 和 Cluster API 来管理数千个 Kubernetes 集群。其中 GitOps 正是使用了上面开源项目推荐中介绍的 Flux 工具,来把 GitOps 链路打通,并结合 Cluster API 组成了 GitOps 模式的多集群管理。
本文介绍了基于 Kubernetes 之上,如何管理跨多个数据中心的 Vault 集群。
本文从一次网络连接开始,介绍了 Kubernetes 中各类网络链路和配置,包括 Service、Load balancer、kube-proxy、Pod 网络等,推荐对 Kubernetes 网络机制感兴趣的同学阅读。
本文主要介绍 K8s 中 GPU 管理方式、如何为容器配置 GPU,以及对应的 Extended Resource 和 Device Plugin的工作原理。
如何解决多租户集群的安全隔离问题是企业上云的一个关键问题,本文主要介绍了 Kubernetes 多租户集群的基本概念和常见应用形态,以及在企业内部共享集群的业务场景下,基于 Kubernetes 原生和 ACK 集群现有安全管理能力快速实现多租户集群的相关方案。
云原生实践峰会即将开幕
“阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践,做最懂云原生开发者的公众号。”
Falco 进入 CNCF Incubator 项目 | 云原生生态周报 Vol. 35的更多相关文章
- 云原生生态周报 Vol. 5 | etcd性能知多少
业界要闻 1 Azure Red Hat OpenShift已经GA.在刚刚结束的Red Hat Summit 2019上,Azure Red Hat OpenShift正式宣布GA,这是一个微软和红 ...
- [转帖]Kubernetes v1.17 版本解读 | 云原生生态周报 Vol. 31
Kubernetes v1.17 版本解读 | 云原生生态周报 Vol. 31 https://www.kubernetes.org.cn/6252.html 2019-12-13 11:59 ali ...
- 云原生生态周报 Vol. 3 | Java 8 ❤️ Docker
摘要: Docker Hub遭入侵,19万账号被泄露:Java 8 终于开始提供良好的容器支持:Snyk 年度安全报告出炉,容器安全问题形势空前严峻. 业界要闻 Docker Hub遭入侵,19万账号 ...
- 云原生生态周报 Vol. 6 | KubeCon EU 特刊
5 月 26日,2019 年第一个 KubeCon + CloudNativeCon 在巴塞罗那成功闭幕.本届 KubeCon 共吸引了超过 7700 名与会者,相较去年哥本哈根大会的 4300 余名 ...
- Argo 项目加入 CNCF 孵化器 | 云原生生态周报 Vol. 45
作者 | 陈洁.高相林.陈有坤.敖小剑 业界要闻 Argo 项目加入 CNCF 孵化器 Argo 项目是一组 Kubernetes 原生工具,用于运行和管理 Kubernetes 上的作业和应用程序. ...
- 阿里巴巴 Kubernetes 能力再获 CNCF 认可 | 云原生生态周报 Vol. 32
作者 | 丁海洋 陈有坤 李鹏 孙健波 业界要闻 阿里巴巴 Kubernetes 技术能力再获 CNCF 认可 CNCF 官网发布博文<Demystifying Kubernetes as ...
- CNCF 宣布 TUF 毕业 | 云原生生态周报 Vol. 33
作者 | 孙健波.汪萌海.陈有坤.李鹏 业界要闻 CNCF 宣布 TUF 毕业 CNCF 宣布 TUF(The update Framework)项目正式毕业,成为继 Kubernetes.Preme ...
- Knative 暂时不会捐给任何基金会 | 云原生生态周报 Vol. 22
作者 | 新胜.心贵.进超.元毅.衷源 业界要闻 谷歌:不会向任何基金会捐赠 Knative 自 Knative 项目开始以来,一直存在关于是否将 Knative 捐赠给基金会(例如 CNCF)的疑问 ...
- 2019 年容器生态统计报告发布 | 云原生生态周报 Vol. 26
作者 | 酒祝.天元.元毅.心水.衷源 业界要闻 1.2019 年容器生态统计报告发布 据报告显示,Kubernetes 占据 77% 的容器编排产品份额,Docker 占据 79% 的容器引擎产品 ...
随机推荐
- H3C 收敛速度慢
- P1079 好朋友
题目描述 小可可和所有其他同学的手腕上都戴有一个射频识别序列号码牌,这样老师就可以方便的计算出他们的人数.很多同学都有一个"好朋友" .如果 A 的序列号的约数之和恰好等于B 的序 ...
- linux预备知识
我们正在接近去看一些实际的模块代码. 但是首先, 我们需要看一些需要出现在你的模块 源码文件中的东西. 内核是一个独特的环境, 它将它的要求强加于要和它接口的代码上. 大部分内核代码包含了许多数量的头 ...
- LuoguP2765 魔术球问题
LuoguP2765 魔术球问题 首先,很难看出来这是一道网络流题.但是因为在网络流24题中,所以还是用网络流的思路 首先考虑完全平方数的限制. 如果\(i,j\)满足\(i < j\) 且 $ ...
- error:cannot load file (code:5555h);bootauto.ini
最近发现有的网友在使用Ghost XP盘安装系统的时候,选择一键ghost到C盘出现下面的错误: error:cannot load file (code:5555h);bootauto.ini(或b ...
- 【温故知新】Java web 开发(四)JSTL 与 JDBC 的增删改查
本篇开始使用 jstl 这个 jsp 的标签库,在同一个 Servlet 中实现处理 CRUD 请求,以及使用 jdbc 数据库基本操作.然后你会发现 Servlet 和 jdbc 还是有很多不方便之 ...
- $vjudge$联赛专题训练三做题记录
$A$ $B$ $C$ $D$ $E$ 总感觉做过的亚子,,,$QwQ$ 首先发现到达每个点所需要的操作一和操作二的次数都是可以求出来的?考虑先求出总移动数,然后按总移动数排序. 然后到达某点的方案数 ...
- 「2018-11-05模拟赛」T5 传送机 解题报告
5.传送机(sent.*) 问题描述: 黄黄同学要到清华大学上学去了.黄黄同学很喜欢清华大学的校园,每次去上课时总喜欢把校园里面的每条路都走一遍,当然,黄黄同学想每条路也只走一遍. 我们一般人很可能对 ...
- 27.openpyxl 向指定单元格添加图片并修改图片大小 以及修改单元格行高列宽
openpyxl 向指定单元格添加图片并修改图片大小 以及修改单元格行高列宽 from openpyxl import Workbook,load_workbook from openpyxl.dra ...
- spring boot使用拦截器
1.编写一个拦截器 首先,我们先编写一个拦截器,和spring mvc方式一样.实现HandlerInterceptor类,代码如下 package com.example.demo.intercep ...