「K8S 生态周报」内容次要蕴含我所接触到的 K8S 生态相干的每周值得举荐的一些信息。欢送订阅知乎专栏「k8s 生态」。

Docker v20.10.10 公布

这个版本是 Docker v20.10 的第 10 个小版本，这个版本中没有什么太特地的共性问题，然而因为 Go 1.16 中 net/http 包对 $HTTP_PROXY 行为的变动，所以当你为 Docker daemon 设置代理的时候，请确认你曾经正确的设置了 $HTTP_PROXY 和 $HTTPS_PROXY 等。

此版本的其余变更，可参考其 ReleaseNote。至于 Docker v21.x 短时间内还不会公布，不过外面的确减少了一些值得一提的个性，后续新版本快公布前再跟大家分享。

Helm v3.7 正式公布

Helm v3.7 是一个个性版本，咱们一起来看看有哪些值得关注的变更吧。

对 OCI Chart 的反对相干的变更

• helm chart export 已删除
• helm chart list 已删除
• helm chart pull 由 helm pull 代替
• helm chart push 由 helm push 代替
• helm chart remove 已删除
• helm chart save 由 helm package 代替

另外， 如果是通过旧版本创立的 OCI chart 须要应用 Helm v3.7 进行从新打包和上传能力应用。

一些新个性

• 新增 helm uninstall --wait
• 新增 helm show crds
• helm dependency list 新增 --max-col-width 用于设置列宽
• helm repo add 新增 --password-stdin 用于从 stdin 输出明码
• helm repo update 能够指定 repo 名称进行更新了
• Helm 模板引擎中新增 {{.Chart.IsRoot}}

更多对于此版本的变更能够参考其 ReleaseNote

Notary v2 alpha1 公布

Notary v1，也称为 Docker Content Trust(DCT)，次要是为过后的 Docker Hub 公布的。从那以后产生了很多变动，围绕首次应用信赖 (TOFU)、密钥治理以及在注册核心内和跨注册核心不足内容推广的一些设计抉择已成为 Docker Content Trust 和 Notary v1 的限度因素。

对 Notary 不理解的小伙伴，能够看下我两年前写的一篇《K8S 生态周报 | TUF 正式从 CNCF 毕业》在这篇文章中介绍了 TUF 还有 Notary 等内容。这里就不开展了。

Notary v2 反对对存储在基于 OCI 散发的注册表中的所有工件（容器镜像、软件资料清单、扫描后果）进行签名，并加强了 ORAS 工件标准。Notary v2 的一个要害准则是它反对在注册核心内和跨注册核心推广已签名的工件，包含公有网络环境。

它的工作过程如下图所示：

在 Notary v2 中最显著的变动就是易用性的晋升，包含它公布了名为 notation 的 CLI 工具。能够创立证书，签名，校验等。

(MoeLove) ➜  ~ notation
NAME:
   notation - Notation - Notary V2

USAGE:
   notation [global options] command [command options] [arguments...]

VERSION:
   0.7.0-alpha.1

AUTHOR:
   CNCF Notary Project

COMMANDS:
   sign               Signs artifacts
   verify             Verifies OCI Artifacts
   push               Push signature to remote
   pull               Pull signatures from remote
   list, ls           List signatures from remote
   certificate, cert  Manage certificates used for verification
   key                Manage keys used for signing
   cache              Manage signature cache
   help, h            Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --help, -h     show help (default: false)
   --version, -v  print the version (default: false)

此版本中最显著的个性就是离线签名创立，以及对 OCI 散发标准的反对。后续的版本中将反对证书撤消，策略反对等能力。感兴趣的小伙伴能够参考其 ReleaseNote

Docker Hub Registry 颁布对 IPv6 的反对

随着 IPv6 的逐渐遍及，世界范畴内越来越多的用户开始在应用 IPv6 网络了，然而 Docker Hub 此前并不反对 IPv6 网络。在听取社区反馈意见后，正式退出了对 Docker Hub 的 IPv6 网络的反对。

目前颁布的测试版本的 IPv6 地址为 registry.ipv6.docker.com，如果是纯 IPv6 或者双栈用户，能够应用如下命令进行登陆。

docker login registry.ipv6.docker.com

也能够应用如下的命令进行镜像的拉取：

docker pull registry.ipv6.docker.com/library/debian:latest

在后续对 IPv6 的反对达到稳固后，默认的 Docker Hub Registry 的地址也将反对 IPv6。这件事件对于 Docker Inc. 公司而言，比拟大的挑战在与它须要解决它的限流限速相干的逻辑，不过目前也曾经根本解决好了。

上游停顿

• #99557 · kubernetes/kubernetes 新增了一个实验性的 kubectl events 命令，这个 PR 中仅蕴含了最根本的实现，后续版本中将会依照 KEP #1440 持续施行。

  减少此命令次要是因为在不批改 kubectl get 的前提下，查看 event 有一些限度，所以间接减少 kubectl events 命令能够更不便的去获取到须要的信息，尤其是 event 是在 Kubernetes 中常常须要查看的一个信息。kubectl get events 比拟典型的一些问题, 比方排序（尽管能够通过加参数解决），watch，以及无奈依照工夫线形式去查看 events 等。

  当然以上的这些问题也能够参考我之前的文章《更优雅的 Kubernetes 集群事件度量计划》来解决。

  当初次要是减少了 --for 选项，能够间接依照对象进行过滤，在下个版本 v1.23 中就将正式和大家见面了。

• #105908 · kubernetes/kubernetes 作为在 v1.21 中被废除的 PSP（Pod Security Policy）的替代品，Pod Security Admission Control 在此版本中实现了很多内容。此 PR 中为被免于 Pod Security 的 Pod 增加了 annotation 用于解释如何 / 为什么。
• #104909 · kubernetes/kubernetes 修改了获取 Pod QoS 时的逻辑。原先的逻辑中仅蕴含了 pod.Spec.Containers 的局部，而没有解决 pod.Spec.InitContainers 这些 InitContainer 的局部，此次批改将它们都加上了。
• #104693 · kubernetes/kubernetes 在 PodSpec 中依据 KEP-2808 减少 OS 字段，以及一些校验，次要是为了辨别是否为 Windows 节点等。

欢送订阅我的文章公众号【MoeLove】