雲原生愛好者週刊：Kubernetes 新成立發佈團隊

雲原生一週動態要聞：

• Log4j 漏洞引發安全事件
• Linux Foundation 將託管 Cloud Hypervisor 項目
• Kubernetes 1.24 發佈團隊正在招募
• BFE Server 1.4.0 和控制平面組件 v0.0.2 發佈
• 開源項目推薦
• 文章推薦

雲原生動態

Log4j 漏洞引發安全事件

日前，Apache Log4j 2 出現漏洞，並被黑客利用。Apache Log4j 2 是一款開源的日誌記錄工具，被廣泛應用於各類框架中。

此次漏洞是由於 Log4j 2 提供的 lookup 功能造成的，該功能允許開發者通過一些協議去讀取相應環境中的配置。但在實現的過程中，並未對輸入進行嚴格的判斷，從而造成漏洞的發生。由於大量的軟件都使用了 Log4j 2 插件，所以大量的 Java 類產品均被波及，包括但不限於 Apache Solr、srping-boot-strater-log4j2、Apache Struts2、ElasticSearch、Dubbo、Redis、Logstash、Kafka...

Apache 將漏洞的嚴重性定爲“嚴重”，並在週五發佈了補丁和緩解措施。

KubeSphere 團隊應對此漏洞也推出了一個爲 KubeSphere 用戶提供建議的方案。

Linux Foundation 將託管 Cloud Hypervisor 項目

日前，非營利組織 Linux 基金會宣佈，將託管 Cloud Hypervisor 項目，爲現代雲工作負載創建高性能、輕量級的虛擬機監控器。該項目以 Rust 語言編寫，非常注重安全性，其特點包括 CPU、內存和設備熱插拔；支持運行 Windows 和 Linux 客戶端；通過 vhost-user 進行設備卸載；佔用內存小。

該項目得到 Alibaba, ARM, ByteDance, Intel and Microsoft 等公司的支持。

Kubernetes 1.24 發佈團隊正在招募

Kubernetes 發佈團隊被嵌入到 SIG 發佈中，負責成功發佈所需的日常工作，而整個 SIG 則專注於發佈流程的持續改進。歷史上，發佈經理（以前是發佈負責人）和後來的發佈團隊承擔了以下職責：

• 在 CNCF 的主持下，有權在公佈的發佈日期建立和發佈版本
• 有權接受或拒絕對發佈分支的偷樑換柱式的合併請求
• 在代碼凍結期間有權接受或拒絕對 kubernetes/kubernetes 主分支的 PR
• 如果保持發佈時間表會對發佈的穩定性或質量產生重大影響，則根據需要改變發佈時間表，這些責任將繼續由 SIG 發佈團隊來履行。本章程授予 SIG 發佈團隊以下額外職責。
  • 有權恢復那些危及到在通知日期前發佈的能力或對發佈質量有負面影響的代碼修改（例如，測試不充分，缺乏文檔）
  • 有權保護不符合發佈標準的功能標誌後面的代碼變化
  • 有權關閉任何不以發佈爲目標的修改的提交隊列，作爲執行代碼凍結期的一部分，該凍結期應由發佈小組來執行

Kubernetes 1.24 發佈團隊正在組建，可填寫申請。

BFE Server 1.4.0 和控制平面組件 v0.0.2 發佈

BFE Server 1.4.0 主要變化如下：

• 修復了配合 Go 1.17 使用時出現的問題
• 在部分實現中，使用 RWMutex 代替 Mutex，獲得了部分性能上的收益
• 對 mod_markdown 模塊，升級了其中使用的 bluemonday
• 優化了 Makefile 和 pre-commit 工具

BFE 控制麪包括 APIServer、Conf Agent、Dashboard 三個程序，本次均發佈了新版本v0.0.2。 控制面本次發佈的版本主要包括如下變化：

• 對於 API Server
  • 提供了 BFE Open API 的完整中文文檔
  • 完善了認證和授權部分的邏輯和功能，可以更好地管理控制檯用戶，及管理程序訪問調用中使用的 Token，並支持按租戶的權限控制
  • 修復了初始化時的數據庫 DDL（Data Definition Language）由於 MySQL 的 NO_ZERO_DATE 限制導致失敗的問題
• 對於 Conf Agent
  • 配合 API Server 的修改做了升級
• 對於Dashboard
  • 修復了後端集羣的部分超時參數默認值設置不合理的問題
  • 配合 API Server，完善了用戶和 Token 的管理功能

開源項目推薦

Wasmer

Wasmer 提供了基於 WebAssembly 的超輕量級應用沙盒，可以在任何地方運行：從桌面到雲、以及 IoT 設備，可以嵌入到任何編程語言。

giscus

giscus 是由 GitHub Discussions 驅動的評論系統，無跟蹤，無廣告，永久免費，無需數據庫。全部數據均儲存在 GitHub Discussions 中。

logpaste

logpaste 是一個用於存儲文本日誌文件的 Web 服務，你可以把它看成一個專門用來共享日誌內容的在線粘貼板。

Repobeats

Repobeats 是一款開發者工具，可在 GitHub README 頁面上，添加酷炫的可視化統計圖表，用以展示項目代碼的提交頻率、分支合併及 issue 狀態。示例：

文章推薦

完全使用 BPF 來追蹤系統事件

BPF 是 Linux 內核中用於追蹤網絡堆棧的一種追蹤技術，最近由於越來越多的擴展而變得流行起來，這些擴展擴大了 BPF 的能力範圍，可以用來實現程序性能分析工具、系統和程序動態跟蹤工具等等。本文將展示如何使用 BPF 的 Linux 實現來編寫訪問系統和程序事件的工具，不需要藉助任何專門的外部工具或庫。

使用 eBPF 來加固 Kubernetes 工作負載

Kubernetes 中的 Security Profiles Operator 提供了多種方法來對應用程序進行測試，並記錄 seccomp 配置文件。本文展示瞭如何使用 Operator 來保護應用程序，以及如何使用基於 eBPF 的 recorder 來完成這項工作。

本文由博客一文多發平臺 OpenWrite 發佈！