云原生爱好者周刊:服务网格的困境与破局

云原生实验室

共 5785字,需浏览 12分钟

 ·

2021-08-25 12:31

云原生一周动态要闻:

  • KEDA 从 CNCF 沙箱项目迁移到孵化项目
  • Harbor Operator 1.1.0 发布
  • Litmus 2.0.0 发布
  • Grafana 8.1.2 发布
  • OpenSSH 8.7 发布
  • 开源项目推荐
  • 文章推荐

云原生动态

KEDA 从 CNCF 沙箱项目迁移到孵化项目

CNCF 技术监督委员会(TOC)已经投票决定接受 KEDA 成为 CNCF 的孵化项目。

Kubernetes Event-Driven Autoscaling(KEDA)是一个用于 Kubernetes 的单一用途的事件驱动自动调节器,可以很轻松地添加到 Kubernetes 集群中来扩展应用。它的目的是简化应用程序的自动缩放,并通过支持扩展到零来优化成本。

KEDA 创建于 2019 年 5 月,是微软和红帽的合作项目,并于 2020 年 3 月加入 CNCF 沙盒。自加入沙盒以来,该项目的终端用户有了很大的增长,包括阿里巴巴、CastAI、KPMG、Meltwater、微软等。该项目团队由来自微软、红帽和 Codit 三个组织的 4 名维护者组成。

详情见[1]

Harbor Operator 1.1.0 发布

Harbor Operator 1.1.0 已经发布。值得注意的功能包括:

  • 支持部署 Harbor v2.3
  • 支持 Kubernetes 1.21 版本
  • 将入口版本升级为 v1
  • 完善 CRD 定义,提供一致的数据库、存储和缓存配置规范(引入新的 CRD 版本 v1beta1)
  • 支持用基于 CRD 的声明方式应用 day2 配置
  • 支持用负载均衡器公开 Harbor 服务
  • 为 S3 存储提供额外的配置选项
  • 以一致的格式进行日志记录
  • 扩展底层运算符(PostgreSQL、Redis 和 Minio)的支持版本

了解更多细节,请查看 v1.1.0 发布页面[2]

Litmus 2.0.0 发布

Litmus 2.0.0 为 LitmusChaos 平台带来了更新的功能,使混沌工程的实践更加高效。以下是新版本的显要特征:

  • 混沌中心
    • 一个混沌控制平面或门户,提供对跨数据中心/云的多个集群的混沌操作的集中管理。控制平面通过安装在注册集群上的代理进行实验。
    • 包括记录在案的 API,可用于以编程方式调用混沌。
    • 围绕混沌执行提供可视化能力和分析。
    • 支持项目-团队-用户的结构,以便在团队内协作进行混沌操作。
  • Litmus 工作流
    • 引入混沌工作流--(a)自动设置依赖关系(b)帮助创建有多个故障的复杂混沌场景(c)支持定义负载/验证工作和混沌注入。
    • 提供了以不同方式创建/运行工作流的灵活性--通过模板,从集成中心,以及自定义上传。
  • 多租户
    • 支持设置(控制平面和代理)和执行混沌实验:集群范围和命名空间范围模式,以帮助在共享集群中以自助服务模式进行操作
  • 可观测性和稳态假设的验证
    • 提供更多带有额外过滤器的 Prometheus 指标集--可用于应用仪表盘的仪表,以观察混沌影响。
    • 提供多样化的探针集,自动验证稳态假设--从而提高运行自动混沌实验的效率
  • 用于混沌状态的 GitOps
    • 与基于 Git 的 SCM 集成,为混沌工件(工作流)提供一个单一的真实来源,这样的变化在 Git 源和混沌中心之间是双向同步的,从而拉出最新的工件来执行。
    • 提供一个事件追踪的微服务,在 GitOps 工具(如 ArgoCD、Flux)升级时自动启动 "订阅的 "混沌工作流。
  • 非 Kubernetes 混沌
    • 增加了在基础设施(云)资源上注入混沌的实验,如 VMs/instances 和磁盘(AWS、GCP、Azure、VMWare)--无论它们是否承载 Kubernetes 集群。

详情见[3]

Grafana 8.1.2 发布

Grafana 8.1.2 现已发布。Grafana 是一个功能丰富的指标标准仪表板和图形编辑器,用于分析和监控 Graphite、Elasticsearch、OpenTSDB、Prometheus 和 InfluxDB。

功能和增强:

  • AzureMonitor:添加对 PostgreSQL 和 MySQL 灵活服务器的支持。
  • Datasource:将 datasource health check 失败的 HTTP 状态代码更改为 400。
  • Explore:将 span duration 添加到 trace viewer 的左侧面板。
  • Plugins:在提供插件资产时使用文件扩展名 allowlist,而不是检查 UNIX 可执行文件。
  • Profiling:支持将 pprof 服务器绑定到自定义网络接口。
  • Search:使搜索图标键盘可导航。
  • Template variables:键盘导航改进。
  • Tooltip:在分钟时间范围内显示毫秒 (ms)。

详情见[4]

OpenSSH 8.7 发布,实验性 SFTP 支持 SCP

OpenSSH 8.7 发布了,作为这个广泛使用的 SSH 服务器/客户端软件的最新功能版本。

在 OpenSSH 8.7 中,突出的变化主要围绕 SCP 工作和为未来的变化做准备。OpenSSH 8.7 的亮点包括:

  • 准备在下一个 OpenSSH 版本中默认停用 ssh-rsa 签名方案。我们鼓励用户现在就转移到更好、更安全的替代方案。
  • 用于远程到远程拷贝的 SCP 现在默认通过本地主机传输,以避免在源跳上暴露凭证和其他改进。
  • SCP 增加了对使用 SFTP 协议传输的实验性支持,作为 SCP/RCP 协议的最终替代。SFTP 的使用导致了更可预测的文件名处理和其他改进。scp -s 标志将启用 SFTP 的使用,并计划在不久的将来成为默认使用。
  • SSH 和 SSHD 现在采用了一个更严格的配置文件解析器。
  • 许多错误修复和其他小的改进。

更多关于 OpenSSH 8.7 所有变化的细节和源代码下载请访问 OpenSSH.com[5]

开源项目推荐

Kubescape[6]

还记得前段时间美国国家安全局 (NSA) 发布了 《Kubernetes 安全加固指南》吗?现在连检查 K8s 集群安全配置是否符合 NSA 安全指南的项目都出来了。

Havener[7]

Havener 是一个用于 与 Kubernetes 交互的高级 CLI 工具,它的目的是提供更丰富的表现形式,并避免使用 kubectl 时使用参数很长的场景。下面是它的几个常用参数:

  • havener events[8] - 展示 Kubernetes 集群的 Events 信息
  • havener logs[9] - 检索所有 Pod 的日志文件
  • havener node-exec[10] - 在 Kubernetes 节点上执行命令
  • havener pod-exec[11] - 在 Pod 中执行命令
  • havener top[12] - 显示 CPU 和内存信息
  • havener watch[13] - 观察所有命名空间中的所有 Pod 的状态

Kubestriker[14]

Kubestriker 是一个平台无关的工具,旨在解决 Kubernetes 集群由于配置错误而产生的安全问题,并将有助于加强任何组织的整体 IT 基础设施。它可以对不同服务和多个平台上的开放端口进行大量详细检查,包括自我托管的 Kubernetes 集群、Amazon EKS、Azure AKS 和 Google GKE。

此外,它还可以分析 Kubernetes 基础设施相关组件,并提供可视化的攻击路径,展示黑客可能的攻击路线。

Metacontroller[15]

Metacontroller 是一个 Kubernetes 插件,它可以通过简单的脚本来编写和部署自定义控制器。

文章推荐

服务网格的困境与破局[16]

这篇文章值得一读,文中花了大量的篇幅来探讨容器网络的细节,简而言之,容器使用 TCP 来进行通信时会有大量的开销,而 kube-proxy 又额外增加了更多的开销。如果能直接使用 UDS(UNIX Domain Sockets) 来通信,就可以免去很多不必要的开销,容器通信不需要 TCP,也不需要 IP,成千上万的容器都有自己的 UDS,例如 /path/mysocket.sock,每个 UDS 都有唯一的 Inode,而不用担心 IP 地址或端口冲突。

如何构建比 nginx:alpine 体积还小的镜像[17]

本文介绍了如何构建体积最小的 Nginx 镜像,甚至比 nginx:alpine 体积还小。

如何加固 Kubernetes 控制平面组件[18]

控制平面作为 Kubernetes 集群的神经中枢,管理着集群的状态和配置数据,极易被攻击者滥用,因此需要对其进行加固。

引用链接

[1]

详情见: https://www.cncf.io/blog/2021/08/18/keda-moves-from-the-cncf-sandbox-to-become-an-incubating-project/

[2]

发布页面: https://github.com/goharbor/harbor-operator/releases/tag/v1.1.0

[3]

详情见: https://github.com/litmuschaos/litmus/releases/tag/2.0.0

[4]

详情见: https://github.com/grafana/grafana/releases/tag/v8.1.2

[5]

OpenSSH.com: https://www.openssh.com/txt/release-8.7

[6]

Kubescape: https://github.com/armosec/kubescape

[7]

Havener: https://github.com/homeport/havener

[8]

havener events: https://github.com/homeport/havener/blob/main/.docs/commands/havener_events.md

[9]

havener logs: https://github.com/homeport/havener/blob/main/.docs/commands/havener_logs.md

[10]

havener node-exec: https://github.com/homeport/havener/blob/main/.docs/commands/havener_node-exec.md

[11]

havener pod-exec: https://github.com/homeport/havener/blob/main/.docs/commands/havener_pod-exec.md

[12]

havener top: https://github.com/homeport/havener/blob/main/.docs/commands/havener_top.md

[13]

havener watch: https://github.com/homeport/havener/blob/main/.docs/commands/havener_watch.md

[14]

Kubestriker: https://github.com/vchinnipilli/kubestriker

[15]

Metacontroller: https://github.com/metacontroller/metacontroller

[16]

服务网格的困境与破局: https://medium.com/hashicorp-engineering/the-trouble-with-service-mesh-6b0336964323

[17]

如何构建比 nginx:alpine 体积还小的镜像: https://medium.com/@rockmetoo/smallest-distroless-nginx-container-alpine-c08c3a9cac93

[18]

如何加固 Kubernetes 控制平面组件: https://www.cncf.io/blog/2021/08/20/how-to-secure-your-kubernetes-control-plane-and-node-components/

关于 KubeSphere

KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的开源容器混合云,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。

KubeSphere 已被 Aqara 智能家居、杭州数跑科技、本来生活、新浪、华夏银行、四川航空、国药集团、微众银行、紫金保险、中通、中国人保寿险、中国太平保险、中移金科、Radore、ZaloPay 等海内外数千家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括多云与多集群管理、Kubernetes 资源管理、DevOps (CI/CD)、应用生命周期管理、微服务治理 (Service Mesh)、多租户管理、监控日志、告警通知、审计事件、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。

 ✨ GitHub:https://github.com/kubesphere
 💻 官网(中国站):https://kubesphere.com.cn
 👨‍💻‍ 微信群:请搜索添加群助手微信号 kubesphere

浏览 48
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报