共计 3115 个字符,预计需要花费 8 分钟才能阅读完成。
云原生一周动静要闻:
- Dockershim 行将被废除
- Dapr v1.5 公布
- 正告:攻击者利用 SonarQube 破绽盗取源码
- OpenELB 进入 CNCF Sandbox
- 开源我的项目举荐
- 文章举荐
云原生动静
Dockershim 行将被正式废除
日前,Kubernetes 发表将从 Kubernetes 代码库中删除 dockershim,取而代之的是反对间接应用为 Kubernetes 创立的容器运行时接口的运行时。
目前的打算是 dockershim 将在 Kubernetes 1.24 版本中删除,该版本定于明年 4 月左右公布。对于那些开发或运行 alpha 和 beta 版本的人,dockershim 将在 12 月 1.24 版本开发周期开始时删除。
Kubernetes 正在通过考察收集意见,以更好地理解用户应答废除 dockershim 的筹备状况。此考察将理解用户以后应用的 Kubernetes 版本,以及用户预计何时会采纳 Kubernetes 1.24。无关 dockershim 废除筹备状况的所有汇总信息将会公布。
Kubernetes 是一个成熟的我的项目。这种弃用是致力解脱永久性测试版性能并提供更多稳定性和兼容性保障的又一步。废除 dockershim,用户将取得更多的灵活性和容器运行时性能的抉择,以及应用程序对特定底层技术的更少依赖。请花工夫查看 dockershim 迁徙文档,并征询 Kubernetes 托管供应商(如果有的话)有哪些容器运行时可应用。
详情见
Dapr v1.5 公布
日前,Dapr v1.5 公布,这是自 Dapr v1.0 公布以来的第五次小版本更新。
该版本有以下亮点:
- 组件降级为 Stable 状态
- 用于状态治理的查问 API
- 配置 API 构建块
- Go SDK 中的 Actor
- Actors 可靠性改良
- 反对 ARM64 MAC(预览版)
- 新增 components
详情见
正告:攻击者利用 SonarQube 破绽盗取国内多个机构的大量源码
2021 年 10 月 22 日,国外出名媒体 cybernews 发文称,有未知攻击者攻打并浸透了博世 iSite 的服务器,并盗取了这家制造业巨头的 5G 物联网连贯平台的源代码。攻击者宣称通过利用 SonarQube 的零日破绽获取了这些源代码,并提供了具体的入侵过程截图和盗取到的源代码文件截图。
遭殃的不止是这一家公司,攻击者 25 号宣称梅赛德斯 - 飞驰中国部门的局部源代码也被他们窃取了。26 号,攻击者又拿到了中国公安系统的医疗平台、保险和人事的 SRC 源码。
目前攻打是否还在持续,咱们无奈得悉,已知的就是攻击者利用了 SonarQube 的零日破绽进行入侵,而且攻打的都是我国的机构和企业。
目前该破绽 (CNVD-2021-84502) 已被收录进了国家信息安全破绽共享平台 (CNVD),并公开了破绽细节。
OpenELB 进入 CNCF Sandbox
11 月 10 日,云原生计算基金会 (CNCF) 发表由青云科技 KubeSphere 团队开源的负载均衡器插件 OpenELB 正式进入 CNCF 沙箱(Sandbox)托管。
OpenELB 我的项目在此前命名为 PorterLB,是为物理机(Bare-metal)、边缘(Edge)和私有化环境设计的负载均衡器插件,可作为 Kubernetes、K3s、KubeSphere 的 LB 插件对集群外裸露“LoadBalancer”类型的服务,外围性能包含:
- 基于 BGP 与 Layer 2 模式的负载平衡
- 基于路由器 ECMP 的负载平衡
- IP 地址池治理治理
- 应用 CRD 进行 BGP 配置
开源我的项目举荐
Krustlet
Krustlet 是一个用来在 Kubernetes 上原生运行 WebAssembly 工作负载的 Kubelet,应用 Rust 语言开发。它会监听 Kubernetes API,以获取新的 Pod 申请,一旦 Pod 被调度到该节点,该节点的 Krustlet 就会运行 WebAssembly 工作负载。用户必须为应用程序生成 WebAssembly 二进制文件,并推送到容器镜像仓库。
Rover
Rover 是一个 Terraform 可视化工具,它通过解析你的 Terraform 配置文件来生成可视化界面。
composerize
composerize 是一个 CLI 工具,能够将 docker run 命令转换为 docker-compose 配置清单。
除了 CLI 之外还提供了一个可视化界面。
kube-lineage
kube-lineage 是一个 kubectl 插件,用来展现 Kubernetes 集群资源的所有依赖资源或从属资源。例如:
$ kube-lineage pod coredns-5cc79d4bf5-xgvkc --dependencies
NAMESPACE NAME READY STATUS AGE
kube-system Pod/coredns-5cc79d4bf5-xgvkc 1/1 Running 30m
├── Node/k3d-server True KubeletReady 30m
├── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system ├── ConfigMap/coredns - 30m
kube-system ├── ReplicaSet/coredns-5cc79d4bf5 1/1 30m
kube-system │ └── Deployment/coredns 1/1 30m
kube-system ├── Secret/coredns-token-6vsx4 - 30m
kube-system │ └── ServiceAccount/coredns - 30m
│ ├── ClusterRoleBinding/system:basic-user - 30m
│ │ └── ClusterRole/system:basic-user - 30m
│ ├── ClusterRoleBinding/system:coredns - 30m
│ │ └── ClusterRole/system:coredns - 30m
│ ├── ClusterRoleBinding/system:discovery - 30m
│ │ └── ClusterRole/system:discovery - 30m
│ ├── ClusterRoleBinding/system:public-info-viewer - 30m
│ │ └── ClusterRole/system:public-info-viewer - 30m
kube-system │ └── RoleBinding/system-unrestricted-svc-acct-psp-rolebinding - 30m
│ └── ClusterRole/system-unrestricted-psp-role - 30m
│ └── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system └── ServiceAccount/coredns - 30mdstp
dstp 是一个 CLI 工具,用来对网站进行惯例的网络测试。
文章举荐
Kubernetes 是如何验证自定义资源的
Kubernetes 除了内置 API 之外,还能够通过 CRD 创立自定义资源,API Server 在自定义资源运行之前是感知不到它的存在的,所以在运行之前对自定义资源进行验证就显得尤为重要。本文花了很长的篇幅通过源码来解析 API Server 对自定义资源的验证过程。
应用 Istio 实现 OIDC 身份验证
Istio 除了外围性能外,还反对通过 Envoy 来扩大配置。本文介绍了如何通过 Istio 的扩大配置为服务网格内的利用配置 OpenID Connect (OIDC) 认证流程,以便将认证和受权都卸载给 Istio。
本文由博客一文多发平台 OpenWrite 公布!