开源项目推荐
在 Kubernetes 集群中,有多种因素会影响到附加组件的升级成功率,比如某些组件只支持特定的 API 或者特定的 Kubernetes 版本,某些组件废弃了特定的 annotation。GoNoGo 这个项目可以创建一个关于升级检查的规范,你可以通过这个规范来检查要升级的版本,以此来获得升级成功的自信指数。
这个项目通过 WebAssembly(WASM)和 Emscripten(WebAssembly 的一个开源编译工具链)实现了直接在浏览器中运行 Wordpress,无需 PHP 服务。
mirrord 可以让你的本地应用直接对接到 Kubernetes 中,看起来就像是直接运行在 Kubernetes 中一样,但实际上不需要部署到 Kubernetes 中。提供 VS Code 插件与 IntelliJ 插件。
文章推荐
KubeEdge 是面向边缘计算场景、专为边云协同设计的业界首个云原生边缘计算框架,完整打通了边缘计算中云、边、设备协同的场景。EdgeMesh 的定位是 KubeEdge 用户数据面轻量化的通讯组件,完成节点之间网络的 Mesh,为用户 KubeEdge 集群中的容器应用提供与 K8s Service 一致的服务发现与流量转发体验。本文介绍了如何使用 KubeEdge 和 EdgeMesh 实现边缘复杂网络场景下的节点通信。
Redis 是在开发过程中经常用到的缓存中间件,在生产环境中为了考虑稳定性和高可用性一般采用集群模式的部署。常规部署在虚拟机上的方式配置繁琐并且需要手动重启节点,而使用 K8s 部署有很多优势,比如安装便捷,缩扩容方便,稳定高效等等。本文介绍了如何在 KubeSphere 中部署高可用 Redis 集群。
云原生动态
日前,CNCF 宣布 SPIFFE 和 SPIRE 项目从孵化器毕业。至此,共有 18 个项目毕业。
SPIFFE(面向所有人的安全生产身份框架,Secure Production Identity Framework For Everyone)为现代生产环境中的每个工作负载提供了安全身份,消除了共享机密的需要,并为更高级别的平台无关安全控制奠定了基础。SPIRE(SPIFFE 运行时环境, SPIFFE Runtime Environment)是在各种平台上实现 SPIFFE 规范的代码,并为身份的发布实施多因素证明。
SIG Apps 宣布两个特性在 Kubernetes 1.25 进入稳定阶段,即用于 StatefulSet 的 minReadySeconds 以及用于 DaemonSet 的 maxSurge。
当 .spec.updateStrategy
字段设置为 RollingUpdate
时, 你可以设置 minReadySeconds
, 通过让每个 Pod 等待一段预期时间来减缓 StatefulSet
的滚动上线。
当 .spec.updateStrategy
字段设置为 RollingUpdate
时,maxSurge
允许 DaemonSet
工作负载在滚动上线期间在一个节点上运行同一 Pod 的多个实例。 这有助于将 DaemonSet
的停机时间降到最低。
在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API 服务器将客户端流量重定向到任何 URL。这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。
此问题已被评为中等,并分配了 CVE-2022-3172。
最新版本的 Falco 引入了对 gVisor 的支持,这是 Google 的应用程序内核,在应用程序和主机操作系统之间提供了一个额外的隔离层。使用 Falco 0.32.1 用户可以监控来自 gVisor 的安全事件,以检测威胁和审计容器。
在 0.32.1 版本之前,Falco 无法与 gVisor 沙箱一起使用,因为 gVisor 在用户空间运行时事件到达底层操作系统之前会对其进行拦截。这阻止了 Falco 通过内核模块或 eBPF 探针监控运行时系统调用。