业界要闻
1.安全漏洞 CVE-2019-9512
CVE-2019-9514 http2 的 DOS 漏洞,一旦攻击成功会耗尽服务器的 cpu/mem,从而导致服务不可用。
相关链接:https://discuss.kubernetes.io/t/security-release-of-kubernetes-v1-15-3-v1-14-6-v1-13-10-cve-2019-9512-and-cve-2019-9514/7596/1
2.CNCF 对 rkt 项目进行归档
rkt 是 CoreOS 公司在 CNCF 早期捐献出来的容器运行时项目。彼时 Docker 风头正劲,一时无两,开源社区一直希望 Docker 可以更多倾听社区的声音却苦于当时 Docker 是容器运行时(开源)的唯一选择。rkt 的出现给了社区和用户一个 Alternative,为后来 CRI 等标准容器运行时的接入提供了一个理由。然而随着容器运行时标准的统一(CRI、CSI、CNI等),rkt 的社区活跃度大大降低,一些 CVE 也迟迟没有修复,于是 CNCF 决定归档 rkt。目前 CNCF 中还有 2 个容器运行时项目:containerd 和 CRI-O。
相关链接:https://www.cncf.io/blog/2019/08/16/cncf-archives-the-rkt-project/
- GitHub 支持在 Azure 上使用 CI/CD 功能,将对公共的仓库开发免费使用,相关功能包含: 授权、应用部署的方式、容器部署的方式、K8s 的部署方式等等(azure/actions (login), azure/appservice-actions,azure/container-actions,azure/k8s-actions)。
相关链接:
a.https://github.blog/2019-08-08-github-actions-now-supports-ci-cd/
b.https://azure.microsoft.com/en-au/blog/announcing-the-preview-of-azure-actions-for-github/
- Intel 发布 K8s 的 GPU plugin,项目包含了 fpga/gpu/quickAssist。
相关链接:
a.https://www.careyscloud.ie/intel_gpu_plugin
b.https://github.com/intel/intel-device-plugins-for-kubernetes
5.orka 支持部署多个 MacOS VM
orka 采用 K8s 和容器化技术支持一台 Mac 的硬件部署多个 MacOS VM,方便 iOS 和 Mac 的开发人员。
相关链接:https://www.macstadium.com/orka
6.Helm Submmit 2019 日程确定
相关链接:https://events.linuxfoundation.org/events/helm-summit-2019/program/schedule/
7.VMware 收购 Pivotal
VMware 以每股 15 美元的价格收购 Pivotal 的 A 类普通股股票。Pivotal 早先以他们在 Cloud Foundry 中的工作成为 PaaS 领域的独特力量,然而随着 Kubernetes 项目的全面成功,Pivotal 和 Cloud Foundry 不得不开始兼容 Kubernetes。Pivotal 的 CTO 在采访中也表示他们正在把一些 Pivotal 之前在做应用和容器化平台的经验带入到 K8s 当中。Kubernetes 相关议题将全面占据 8 月 25 日将在旧金山举行 VMworld 2019,大会预计会超过 80 breakout sessions, expert roundtables。
相关链接:
a.收购信息:https://investors.pivotal.io/news/financial-news/press-release-details/2019/Pivotal-In-Discussions-With-VMware-Regarding-Potential-Business-Combination/default.aspx
b.Pivotal CTO 谈 K8s:https://devclass.com/2019/08/16/pivotal-cto-kubernetes-means-were-all-distributed-systems-programmers-now/
c.VMware2019 & Kubernetes:https://cloud.vmware.com/community/2019/08/13/kubernetes-is-set-to-take-over-vmworld-us-2019-heres-what-to-see-and-do/
上游重要进展
1.支持 kube-apiserve r的 service,Kubernetes 能同时支持 clusterIP 和 externalName,让 kube-apiserver 能通过 FQDN 被其他 Pod 直接访问。
KEP 链接:
https://github.com/kubernetes/enhancements/pull/1216
相关类似 PR:
a.https://github.com/kubernetes/kubernetes/pull/47588
b.https://github.com/kubernetes/kubernetes/pull/79312
2.request-faireness 文档更新,主要是依据实现方案修改 KEP 文档。
a.进度跟踪:https://github.com/kubernetes/kubernetes/issues/76846
b.设计实现:https://github.com/kubernetes/enhancements/blob/master/keps/sig-api-machinery/20190228-priority-and-fairness.md#design-details
c.本次 PR://github.com/kubernetes/enhancements/pull/1214
3.一批 Metric 被订正。主要内容:
a.cAdvisor: 指标的 label"pod_name", "container_name" 改为 "pod", "container";
b.API latency histogram buckets: 之前是 125ms 到 8s, 范围支持 [0.005 0.01 0.025 0.05 0.1 0.25 0.5 1 2.5 5 10];
a.kubelet: 修改 promethues 的指标类型 summary 为 histograms 等,单位变为秒;
b.kube-scheduler: 单位变为秒;
c.Kube-proxy: 单位变为秒,删除指标:DeprecatedNetworkProgrammingLatency;
d.kube-apiserver: apiserver_request_latency_seconds 的窗口变得更大,后续可以更精细化;
e.Convert latency/latencies in metrics name to duration;
f.Client-go: workingqueue 指标改名,符合指标监控规范。
相关链接:
i.[https://github.com/kubernetes/enhancements/issues/1206](https://github.com/kubernetes/enhancements/issues/1206)
ii.[https://github.com/kubernetes/community/blob/master/contributors/devel/sig-instrumentation/instrumentation.md](https://github.com/kubernetes/community/blob/master/contributors/devel/sig-instrumentation/instrumentation.md)
- 调度器相关 PR:
a.支持 binder plugin,写了个默认实现;https://github.com/kubernetes/kubernetes/pull/81593/files
b.增加了 cleanup 扩展点;
i.issue: [https://github.com/kubernetes/kubernetes/issues/81438](https://github.com/kubernetes/kubernetes/issues/81438)
ii.pr: [https://github.com/kubernetes/kubernetes/pull/81593/files](https://github.com/kubernetes/kubernetes/pull/81593/files)c.调度队列支持参数 maxBackoffDuration;https://github.com/kubernetes/kubernetes/pull/81263
d.Move RunNormalizeScorePlugins and ApplyScoreWeights into RunScorePlugins,其实就是一个小优化。https://github.com/kubernetes/kubernetes/pull/81614/files
5.Promote Node Zone/Region Topology Labels to GA
https://github.com/kubernetes/kubernetes/pull/81431
6.kube-apiserver 开始支持 CacheObject,避免重复的序列化开销
https://github.com/kubernetes/kubernetes/pull/81585/commits
7.kube-apiserver 支持调用 webhook 设置 context 超时时间
https://github.com/kubernetes/kubernetes/pull/81602
8.apiserver 调用 webhook 的 metrics apiserver_admission_webhook_admission_duration_seconds 新增标签(ignore_call_failure, call_failure and code)
https://github.com/kubernetes/kubernetes/pull/81399/files
9.Block etcd client creation until connection is up #81435
https://github.com/kubernetes/kubernetes/pull/81435
10.Enables resizing of block volumes
https://github.com/kubernetes/kubernetes/pull/81429/files
开源项目推荐
1.k3sup:方便从一台机器上获取 kubeconfig 的工具类。
链接:https://github.com/alexellis/k3sup
2.Gatekeeper:Policy Controller for Kubernetes,一个不同于 OPA 的 K8s 策略配置工具。
链接:https://github.com/open-policy-agent/gatekeeper
3.ktop : A visualized monitoring dashboard for Kubernetes,一个 K8s 的可视化监控 dashboard。
链接:https://github.com/ynqa/ktop?utm_sq=g3i5hm4xyz
4.System-validators。这是一个新的项目,旨在为 Kubeadm 提供一套安装的 preflight check,看起来能够帮助私有环境中部署 K8s 节省很多时间,对相关领域的工作人员会有很大帮助。
链接:https://github.com/kubernetes/system-validators
本周阅读推荐
1.OPA Gatekeeper: Policy and Governance for Kubernetes。这篇博客描述了如何使用 OPA Gatekeeper 在 K8s 中进行规则和策略配置。(例如:如何为用户配置符合公司规定的操作权限?)
https://kubernetes.io/blog/2019/08/06/opa-gatekeeper-policy-and-governance-for-kubernetes/
a.关于 OPA 还有另一篇文章推荐:How to enforce custom policies on Kubernetes objects using OPA。链接:https://www.openpolicyagent.org/docs/latest/kubernetes-admission-control
2.The Case for Virtual Kubernetes Clusters。虚拟化 K8s 集群是目前社区和很多用户十分关心的技术方案,主要的需求来源是多租户。如果你对这方面不是很了解,阅读这篇文章会有帮助。
链接:https://thenewstack.io/the-case-for-virtual-kubernetes-clusters/?utm_source=tuicool&utm_medium=referral
了解 ACK 容器服务,请查看:https://www.aliyun.com/product/kubernetes
阿里云容器服务中国最佳,进入 Forrester 报告强劲表现者象限
