雲原生一週動態要聞:
- KEDA 從 CNCF 沙箱項目遷移到孵化項目
- Harbor Operator 1.1.0 發佈
- Litmus 2.0.0 發佈
- Grafana 8.1.2 發佈
- OpenSSH 8.7 發佈
- 開源項目推薦
- 文章推薦
雲原生動態
KEDA 從 CNCF 沙箱項目遷移到孵化項目
CNCF 技術監督委員會(TOC)已經投票決定接受 KEDA 成爲 CNCF 的孵化項目。
Kubernetes Event-Driven Autoscaling(KEDA)是一個用於 Kubernetes 的單一用途的事件驅動自動調節器,可以很輕鬆地添加到 Kubernetes 集羣中來擴展應用。它的目的是簡化應用程序的自動縮放,並通過支持擴展到零來優化成本。
KEDA 創建於 2019 年 5 月,是微軟和紅帽的合作項目,並於 2020 年 3 月加入 CNCF 沙盒。自加入沙盒以來,該項目的終端用戶有了很大的增長,包括阿里巴巴、CastAI、KPMG、Meltwater、微軟等。該項目團隊由來自微軟、紅帽和 Codit 三個組織的 4 名維護者組成。
Harbor Operator 1.1.0 發佈
Harbor Operator 1.1.0 已經發布。值得注意的功能包括:
- 支持部署 Harbor v2.3
- 支持 Kubernetes 1.21 版本
- 將入口版本升級爲 v1
- 完善 CRD 定義,提供一致的數據庫、存儲和緩存配置規範(引入新的 CRD 版本 v1beta1)
- 支持用基於 CRD 的聲明方式應用 day2 配置
- 支持用負載均衡器公開 Harbor 服務
- 爲 S3 存儲提供額外的配置選項
- 以一致的格式進行日誌記錄
- 擴展底層運算符(PostgreSQL、Redis 和 Minio)的支持版本
瞭解更多細節,請查看 v1.1.0 發佈頁面。
Litmus 2.0.0 發佈
Litmus 2.0.0 爲 LitmusChaos 平臺帶來了更新的功能,使混沌工程的實踐更加高效。以下是新版本的顯要特徵:
- 混沌中心
- 一個混沌控制平面或門戶,提供對跨數據中心/雲的多個集羣的混沌操作的集中管理。控制平面通過安裝在註冊集羣上的代理進行實驗。
- 包括記錄在案的 API,可用於以編程方式調用混沌。
- 圍繞混沌執行提供可視化能力和分析。
- 支持項目-團隊-用戶的結構,以便在團隊內協作進行混沌操作。
- Litmus 工作流
- 引入混沌工作流--(a)自動設置依賴關係(b)幫助創建有多個故障的複雜混沌場景(c)支持定義負載/驗證工作和混沌注入。
- 提供了以不同方式創建/運行工作流的靈活性--通過模板,從集成中心,以及自定義上傳。
- 多租戶
- 支持設置(控制平面和代理)和執行混沌實驗:集羣範圍和命名空間範圍模式,以幫助在共享集羣中以自助服務模式進行操作
- 可觀測性和穩態假設的驗證
- 提供更多帶有額外過濾器的 Prometheus 指標集--可用於應用儀表盤的儀表,以觀察混沌影響。
- 提供多樣化的探針集,自動驗證穩態假設--從而提高運行自動混沌實驗的效率
- 用於混沌狀態的 GitOps
- 與基於 Git 的 SCM 集成,爲混沌工件(工作流)提供一個單一的真實來源,這樣的變化在 Git 源和混沌中心之間是雙向同步的,從而拉出最新的工件來執行。
- 提供一個事件追蹤的微服務,在 GitOps 工具(如 ArgoCD、Flux)升級時自動啓動 "訂閱的 "混沌工作流。
- 非 Kubernetes 混沌
- 增加了在基礎設施(雲)資源上注入混沌的實驗,如 VMs/instances 和磁盤(AWS、GCP、Azure、VMWare)--無論它們是否承載 Kubernetes 集羣。
Grafana 8.1.2 發佈
Grafana 8.1.2 現已發佈。Grafana 是一個功能豐富的指標標準儀表板和圖形編輯器,用於分析和監控 Graphite、Elasticsearch、OpenTSDB、Prometheus 和 InfluxDB。
功能和增強:
- AzureMonitor:添加對 PostgreSQL 和 MySQL 靈活服務器的支持。
- Datasource:將 datasource health check 失敗的 HTTP 狀態代碼更改爲 400。
- Explore:將 span duration 添加到 trace viewer 的左側面板。
- Plugins:在提供插件資產時使用文件擴展名 allowlist,而不是檢查 UNIX 可執行文件。
- Profiling:支持將 pprof 服務器綁定到自定義網絡接口。
- Search:使搜索圖標鍵盤可導航。
- Template variables:鍵盤導航改進。
- Tooltip:在分鐘時間範圍內顯示毫秒 (ms)。
OpenSSH 8.7 發佈,實驗性 SFTP 支持 SCP
OpenSSH 8.7 發佈了,作爲這個廣泛使用的 SSH 服務器/客戶端軟件的最新功能版本。
在 OpenSSH 8.7 中,突出的變化主要圍繞 SCP 工作和爲未來的變化做準備。OpenSSH 8.7 的亮點包括:
- 準備在下一個 OpenSSH 版本中默認停用 ssh-rsa 簽名方案。我們鼓勵用戶現在就轉移到更好、更安全的替代方案。
- 用於遠程到遠程拷貝的 SCP 現在默認通過本地主機傳輸,以避免在源跳上暴露憑證和其他改進。
- SCP 增加了對使用 SFTP 協議傳輸的實驗性支持,作爲 SCP/RCP 協議的最終替代。SFTP 的使用導致了更可預測的文件名處理和其他改進。scp -s 標誌將啓用 SFTP 的使用,並計劃在不久的將來成爲默認使用。
- SSH 和 SSHD 現在採用了一個更嚴格的配置文件解析器。
- 許多錯誤修復和其他小的改進。
更多關於 OpenSSH 8.7 所有變化的細節和源代碼下載請訪問 OpenSSH.com。
開源項目推薦
Kubescape
還記得前段時間美國國家安全局 (NSA) 發佈了 《Kubernetes 安全加固指南》嗎?現在連檢查 K8s 集羣安全配置是否符合 NSA 安全指南的項目都出來了。
Havener
Havener 是一個用於 與 Kubernetes 交互的高級 CLI 工具,它的目的是提供更豐富的表現形式,並避免使用 kubectl 時使用參數很長的場景。下面是它的幾個常用參數:
- havener events - 展示 Kubernetes 集羣的 Events 信息
- havener logs - 檢索所有 Pod 的日誌文件
- havener node-exec - 在 Kubernetes 節點上執行命令
- havener pod-exec - 在 Pod 中執行命令
- havener top - 顯示 CPU 和內存信息
- havener watch - 觀察所有命名空間中的所有 Pod 的狀態
Kubestriker
Kubestriker 是一個平臺無關的工具,旨在解決 Kubernetes 集羣由於配置錯誤而產生的安全問題,並將有助於加強任何組織的整體 IT 基礎設施。它可以對不同服務和多個平臺上的開放端口進行大量詳細檢查,包括自我託管的 Kubernetes 集羣、Amazon EKS、Azure AKS 和 Google GKE。
此外,它還可以分析 Kubernetes 基礎設施相關組件,並提供可視化的攻擊路徑,展示黑客可能的攻擊路線。
Metacontroller
Metacontroller 是一個 Kubernetes 插件,它可以通過簡單的腳本來編寫和部署自定義控制器。
文章推薦
服務網格的困境與破局
這篇文章值得一讀,文中花了大量的篇幅來探討容器網絡的細節,簡而言之,容器使用 TCP 來進行通信時會有大量的開銷,而 kube-proxy 又額外增加了更多的開銷。如果能直接使用 UDS(UNIX Domain Sockets) 來通信,就可以免去很多不必要的開銷,容器通信不需要 TCP,也不需要 IP,成千上萬的容器都有自己的 UDS,例如 /path/mysocket.sock,每個 UDS 都有唯一的 Inode,而不用擔心 IP 地址或端口衝突。
如何構建比 nginx:alpine 體積還小的鏡像
本文介紹瞭如何構建體積最小的 Nginx 鏡像,甚至比 nginx:alpine 體積還小。
如何加固 Kubernetes 控制平面組件
控制平面作爲 Kubernetes 集羣的神經中樞,管理着集羣的狀態和配置數據,極易被攻擊者濫用,因此需要對其進行加固。
本文由博客一文多發平臺 OpenWrite 發佈!