雲原生生態週報 Vol 2

kubernetes external secrets 近日，世界上最大的網域名稱託管公司 godaddy公司，正式宣布並詳細解讀了其開源的k8s外部 secrets 管理專案： kubernetes external secrets，簡稱kes。這個專案定義了externalsecrets api，讓開發者可以在k8s內部以和使用內部secret相似的方式使用外部系統提供的secrets，大大簡化了開發者為了讓應用獲取外部secrets所需要的工作量。從安全的角度，這個方案降低了使用外部secret時候的攻擊面（外部secret是通過乙個k8s api暴露的，而不是之前的每個應用自己實現），也降低了應用在適配外部secret時候的難度。另外，kubernetes kms plugin開源外掛程式，採用信封加密的方式與金鑰管理能力結合，對進行k8s secret的儲存加密。建議安全相關技術人員重點關注。

cncf 官方宣布為中國開發者提供免費的雲原生技術公開課。這些課程將專注於雲原生技術堆疊，包括技術深度探索與動手實驗課程，旨在幫助和指導中國開發人員在生產環境中使用雲原生技術，並了解其用例和優勢。此前，著名社群stackoverflow發布了2023年開發者調研報告，報告有近九萬人參與，top 3 最受熱愛開發平台是分別是linux（83.1%）、docker（77.8%）和kubernetes（76.8%）。

kubernetes 專案

[重要效能優化] 2x performance improvement on both required and preferred podaffinity. (#76243, @huang-wei) 這是乙個重要的效能優化。這個提交將 podaffinity 排程的效率實現了兩倍的提高。要知道，podaffinity/anti-affinity 排程規則是目前 k8s 預設排程器最大的效能瓶頸點，這次修復很值得關注。[重要安全增強] kep: node-scoped daemonset: k8s 專案現在提供一種叫 node-scoped daemonset。這種 daemonset 的獨特之處，在於它擁有、並且只能擁有自己所在的節點 kubelet 相同的許可權，並且遵循同 kubelet 相同的鑑權流程。這種設計，避免了以往 daemonset 許可權氾濫的問題（比如：我們現在就可以讓 daemonset 只能訪問到屬於該 node 的 api 資源）。這個特性發布後， daemonset 一直以來都是k8s 集群裡最優先被黑客們關照的尷尬局面有望從根本上得到緩解。

[重要功能補丁] kep: add kubelet support lxcfs: 一直以來，容器裡面通過 /proc 檔案系統檢視 cpu、記憶體等資訊不準確都是乙個讓人頭疼的問題，而掛載 lxcfs 則是這個問題的最常見解決辦法。現在， k8s 上游正在提議將 lxcfs 作為預設支援，如果得以合併的話，那對於開發者和運維人員來說，都是個喜聞樂見的事情。不過，lxcfs 本身是乙個需要額外安裝的軟體，很可能會成為這個阻礙設計的 blocker。

knative 專案

[serving v1beta1 api proposal(knativeserving api準備公升級到 v1beta1 版本，其目標之一是使用標準的podspec，以便更方便的從 k8s deployment 遷移過來。這個版本和v1alpha1對比主要變更有：去掉了runlatest，預設預設就是runlatest；release模式可以通過配置traffic實現，可以指定各個版本的流量比例；取消manual模式；提供revision生成名字的控制；停用serving內建的build。

triggers don't use istio virtualservices：knative eventing 原有的實現，依賴於 istio 的 virtualservice 來重寫 host header，使得接下來 broker 可以通過 host header 來識別此 event 是發給哪個trigger 的。而最新的做法，則是通過 url 來進行區分（比如：代表此事件是傳送給 my-trigger 的)，從而解除了 trigger 對istio virtualservice 的依賴remove istio as a dependency：除了上述解耦之外，knative eventing channel 和 bus 的繫結目前也是通過 istio 的 virtualservice 實現的。在這個新的實現方案中，provisioners 直接把 bus 的主機名寫到 channel 的狀態當中，就不再需要 istio virtualservice 來充當 proxy 了。這些提交，都在透出這樣乙個事實：knative 正在逐步減少對 istio 的各種依賴，這對於乙個真正、適用於更廣泛場景的 serverless 基礎設施來說，是非常重要的。

istio 專案

[重要安全增強]最近在envoy**中發現了兩個安全漏洞（cve 2019-9900和cve 2019-9901）。這些漏洞現在已經在envoy版本1.9.1中修補，並且相應地嵌入在istio 1.1.2和istio 1.0.7中的envoy版本中。由於envoy是istio不可分割的一部分，因此建議使用者立即更新istio以降低這些漏洞帶來的安全風險。

[效能提公升] istio 1.1中的新增強功能可以提高應用程式效能和服務管理效率，從而實現擴充套件，pilot cpu使用率降低了90％, 記憶體使用率降低50％。業界已有嘗試在kubernetes中使用pilot實現服務的流量管理，對應用服務提供多版本管理、靈活的流量治理策略，以支援多種灰度發布場景。可以參考通過istio管理應用的灰度發布

containerd 專案

runc v2 shim

支援cgroup

設定：containerd 目前支援多個容器使用同乙個

containerd-shim

來管理 - 乙個 pod 就可以使用乙個 containerd-shim 來管理一組容器，減少 containerd-shim 對系統資源的開銷。但是目前新的 shim v2 沒有提供配置 cgroup 介面，這個功能會在 1.3 release 中解決。有了這個能力之後，上層應用就可以將 containerd-shim 資源控制也納入 pod 資源管理體系中，嚴格控制系統服務占用的資源大小。

containerd 外掛程式 id 管理：containerd 允許開發者將自定義的元件註冊到服務裡，提供了可插拔的能力。但是當前 containerd 外掛程式的管理是假設 id 是唯一，這會導致相同 id 的外掛程式載入結果不可**。當前該問題還在討論中，計畫在 1.3 release 中解決。

傳統富容器運維模式如何云原生化？

在很多企業當中長期以來都在使用富容器模式，即：在業務容器裡安裝systemd、 sshd、監控程序等系統程序，模擬乙個虛擬機器的行為。這種運維方式固然方便業務遷入，但是也跟雲原生理念中的「不可變基礎設施」產生了本質衝突。比如：容器裡的內容被操作人員頻繁變化給公升級、發布帶來了眾多運維隱患；富容器模式導致開發人員其實並不了解容器概念，在容器裡隨機位置寫日誌甚至使用者資料等高風險的行為屢見不鮮。

來自阿里巴巴「全站雲化」的實踐：

本週我們想您推薦spiffe專案。spiffe，從運維人員的第一感覺而言，是解決證書下發問題的。以往的安全體系更注重自然人的身份認證，而在spiffe裡面所有的執行實體都有身份。乙個案例就是k8s上的每個pod都配置相應的身份，對於多雲和混合雲的安全角度講，spiffe的好處在於不被**商的安全認證體系繫結，可以達到跨雲/跨域的身份認證，從而確保安全。下面是我們蒐集的一些關於spiffe的不錯的公開資料，有興趣可以去了解：

knative：精簡**之道，作者 brian mcclain | 譯者孫海洲。這篇文章用循序漸進的例子對「什麼是 knative」做出了很好的回答。如果你現在對 knative 的認識還停留在三張分別叫做build， serving 和 eventing的插圖的話，那可能閱讀一下這篇文章會讓你對它們的理解更加形象。

spark in action on kubernetes - 儲存篇，by alibaba 莫源。儲存永遠是大資料計算的核心之一，隨著新計算場景的不斷湧現和硬體技術的飛速發展，儲存的適配關係到大規模計算的成本、效能、穩定性等核心競爭要素。本文繼上面分析k8s中的spark operator之後，從硬體限制、計算成本和儲存成本幾個角度，討論了雲原生時代來臨後儲存如何解決成本低、存得多、讀寫快這幾個挑戰，詳細介紹了阿里雲上相關產品在不同場景下的表現，並總結了不同場景下適用的儲存解決方案以及選擇的原因。如果你是k8s和大資料方面的開發者和使用者，這是一篇你不應該錯過的部落格，可以快速的幫你梳理當前技術下儲存的場景和典型解決方案。

本週報由阿里巴巴容器平台聯合螞蟻金服共同發布

雲原生生態週報 Vol 2

雲原生雲原生簡介

php 原生生成xls和csv

Android原生生成JSON與解析JSON

雲原生生態週報 Vol 2

雲原生 雲原生簡介

php 原生生成xls和csv

Android原生生成JSON與解析JSON

相關推薦

雲原生雲原生簡介