周一见 | Istio 发布 v1.3、CNCF 应用交付 SIG、容器安全十二问

作者:bot(才云)

技术校对:星空下的文仔 (才云)

CNCF 宣布成立应用程序交付 SIG

Istio v1.3 正式发布

“我已经厌倦了谈论 K8s”

本周 K8s 开源项目推荐

容器、K8s 安全自查十二问

Linux 5.3 正式版来了

2019 中国云原生落地情况调研

Kubernetes 资讯

1

CNCF 宣布成立应用程序交付 SIG

9 月 12 日, CNCF 宣布成立一个新的专注于应用程序交付的 SIG(Special Interest Group) 自 SIG 在 6 月份被技术监督委员会(TOC)批准以来,应用程序交付 SIG 已经启动,并加入了现有的安全 SIG 和存储 SIG。

根据官方说法, CNCF 应用程序交付 SIG 将致力于开发最佳实践,促进项目之间的协作,改进工具互操作性,并提出新的倡议和项目

该小组的重点将是交付云原生应用程序,并将主要参与应用程序管理领域的 CNCF 项目,包括 Brigade、Buildpacks、CloudEvents、Flux、Helm、Kubernetes 和 Serverless 等。

https://github.com/cncf/toc/tree/master/sigs

2

Istio v1.3 正式发布

上周,Istio 团队宣布发布 1.3 版本,新版本修复了之前存在的一些问题, 旨在提高 可用性

  • 默认情况下将捕获所有入站流量;

  • 无论服务是在 Kubernetes 还是虚拟机中运行,CLI 中的命令 add-to-mesh 都会将现有服务添加到 Istio 网格;

  • 一个 describe 命令,允许开发人员描述满足 Istio 要求和任何与 Istio 相关的配置所需的 Pod 和服务;

  • 默认情况下,对出站流量实施并启用自动协议检测,对入站流量禁用该检测,以稳定功能。你仍然需要修改 Kubernetes service YAML,以便在服务端口的名称或前缀中使用 v1.3 协议。

更多内容,请见:

https://istio.io/about/notes/1.3/

3

“我已经厌倦了谈论 K8s”

上周, Kubernetes 联合创始人 Craig McLuckie 在海牙举行的 Cloud Foundry 峰会的一次主题采访中,开玩笑似的说了一句话: 我已经厌倦了谈论 K8s

“作为一个行业,我们仍然需要做很多工作才能使基础架构技术完全隐入后台,并将与开发人员交互的技术带到前台,使他们能够开发驱动业务的代码。”

McLuckie 认为,结合开发人员的经验及 VMware 收购 Pivotal 这起事件, PaaS 云平台正在成为云原生应用程序的首要开发平台

当企业开始思考如何组装自己的开发堆栈时,这个过程就像做蛋糕,你可能会发现有几层烤得特别完美,比如 Kubernetes,但是另外几层还需要再烤一段时间。这时, 尽管有些方面还没有做到完美,我们 可以先把蛋糕组装起来,为开发人员提供面面俱到的“食谱”。

McLuckie 希望 PaaS 云平台能在 Kubernetes 之上优化开发人员的体验,为开发人员提取所有基础架构,并使应用程序部署在单个 CLI 命令之上。

4

本周 K8s 开源项目推荐

Kubelive 。Kubernetes 命令行工具,提供有关群集及其资源的实时数据。

https://www.npmjs.com/package/kubelive

eunomia 。eunomia 旨在为 Kubernetes 中的任何资源实现基于 git 流程的能力。

https://github.com/KohlsTechnology/eunomia?utm_sq=g62h94r8ha

portieris 。这是一个 Kubernetes 准入控制器,用于执行内容信任。你可以为每个 Kubernetes 命名空间或集群级别创建镜像安全策略,并对不同的镜像强制实施不同的信任级别。

https://github.com/IBM/portieris?utm_sq=g61t5p8m0f

kilo 。这是一个基于 WireGuard 的多云网络覆盖,专为 Kubernetes 设计(k8s + wg = kg)。

https://github.com/squat/kilo?utm_sq=g61t3hzjpp

kube-owasp-zap 。这是 Kubernetes 的 owasp-zap 解决方案。它允许你使用 Kubernetes 作为平台在主机上执行漏洞分析。

https://github.com/zee-ahmed/kube-owasp-zap?utm_sq=g61suteumi

gitops-k8s 。本文档旨在提供一个自用工作解决方案,利用 Kubernetes 和经过验证的 GitOps 技术,拥有一个弹性、可组合和可扩展的 Kubernetes 平台。

https://github.com/edgelevel/gitops-k8s?utm_sq=g61stya46v

5

容器、K8s 自查十二问

随着越来越多企业采用容器简化应用程序开发方式,Kubernetes 的崛起令人惊叹,但发展至今,它们还存在不少安全性问题。

为了帮助工程师快速评估环境的安全状况,社区整理一份问题列表,供企业 DevSecOps 或 DevOps 团队进行自查:

1. 容器中使用的镜像来自哪里? 记住: 只部署受信任的东西。

2. 上一次扫描镜像漏洞是什么时候? 频繁扫描对于容器安全至关重要。

3. 你的哪些容器受已知漏洞影响,其严重程度怎么样? 一旦发现新的漏洞,你的团队需要找到一种方法,不仅能在镜像中定位漏洞,还可以在运行的部署中快速找到它们。

4. 生产中的容器是否受到已知漏洞的影响? 除了找到漏洞的位置之外,你还必须确定这些漏洞是否已被利用。

5. 哪个被发现漏洞的容器或部署排查优先级最高? 即便你发现了几十个关键漏洞实例,如果你不能判断哪些(3-5 个)实例存在最大风险,那么这个发现对你的团队来说没什么帮助。

6. 哪些部署使用特权容器,可以完全访问主机操作系统? 这些是确保环境安全的捷径。

7. 哪些容器应用程序服务在 Kubernetes 集群之外公开? 通过 Kubernetes 原生的“default allow”网络连接,你需要确保团队已关闭不必要的通信路径。

8. 你能快速回答哪些进程在哪个容器、哪个集群中运行吗? 识别可疑进程可以帮我们找到受损容器。

9. 哪些网络通信路径有效但未在生产中使用? 找到它们有助于减少攻击。

10. 哪个正在运行的部署有一个对手尝试运行特定的运行时漏洞? 找到这些操作,即便它们没成功,也会做出一些妥协。

11. 公司内是否存在某个团队负责某个运行中的应用? 如果那个应用出问题了,记得寻求那个团队的帮助。

12. 你的集群、命名空间和节点符合容器和 Kubernetes 的 CIS 基准吗? 符合程度如何? 你需要按条件进行合规性分析,以便与不同组的责任级别保持一致。

6

Linux 5.3 正式版来了

今天, Linus Torvalds 宣布发布 Linux 5.3 内核系列 ,这个系列带来了几个新功能,几十个改进和更新的驱动程序。

Linux 5.3 内核系列的亮点包括 支持 Intel Speed Select ,以便在某些 Xeon 服务器上更轻松地进行电源调整; 支持 AMD Radeon Navi 显卡 ,例如 AMD GPU 驱动程序中的 AMD Radeon RX5700; 支持兆芯 x86 处理器 ,以及对功率不对称 CPU 中的利用夹紧机制的支持

它还引入了一个新的 pidfd_open(2)系统调用 ,有望帮助服务管理器处理 PID 重用问题。它支持 umwait x86 指令以实现更高功效的用户空间,支持轻量级和灵活的 ACRN 嵌入式虚拟机管理程序,以及支持对于 0.0.0.0/8 范围内的 1600 万个新 IPv4 地址。

更多内容,详见:

https://kernelnewbies.org/Linux_5.3

7

2019 中国云原生落地情况调研

为了深度调研国内云原生发展现状,K8sMeetup 中国社区和才云科技联合众多中立社区和企业,诚邀广大公司决策者和工程师 参与问卷调研 ,打造中国云原生落地情况白皮书。

这份白皮书能向你提供:

  • 中国企业云原生落地进度与规模;

  • 国内企业落地云原生的原因、痛点和规划;

  • 最受企业关注的云原生技术和应用领域;

  • 企业对提高自身云原生技术实力的需求;

  • 国内云原生与 AI 等技术的结合情况;

  • ……

长按识别二维码 参与问卷调研

风趣一刻

在生产中运行裸金属 Kubernetes 集群对我已不再是压力。

——Mark,22 岁

推荐阅读:

在看点一下

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章