关于云计算:云原生爱好者周刊K8s-Security-SIG-发布-Kubernetes-策略管理白皮书

云原生一周动静要闻：

• Istio 1.13 公布
• CNCF 发表 2021 年云原生调查结果
• 运行时平安我的项目 Falco 增加可扩大插件框架
• Grafana 8.3.6 公布
• 开源我的项目举荐
• 文章举荐

Kubernetes Security SIG 公布了一份 Kubernetes 策略管理白皮书，让大家意识到 Kubernetes 策略管理对 Kubernetes 集群和工作负载的重要性，形容了 Kubernetes 策略能够帮忙解决哪些问题，以及如何实现 Kubernetes 策略。

关注公众号『KubeSPhere 云原生』，后盾回复暗号 kpm 即可获取该白皮书。

云原生动静

Istio 1.13 公布

日前，Istio 1.13 公布，这是 2022 年的第一个 Istio 版本。

Kubernetes 版本正式反对 Istio 1.13.01.20 到 1.23。

该版本的亮点如下：

• ProxyConfig 应用 API 配置 Istio sidecar 代理
  以前的 Istio 版本容许应用网格范畴内的设置 API 来配置代理级别的 Envoy 选项。在 1.13 版本中，咱们曾经将这种配置晋升到其凋谢的顶级自定义资源 ProxyConfig。与其余 Istio 配置 API 一样，这个 CR 能够在全局、每个命名空间或每个工作负载进行配置。
• 对遥测 API 的继续改良
  此版本持续欠缺了 Istio 1.11 中引入的新 Telemetry API。在 1.13 中，增加了对日志记录 OpenTelemetry、过滤拜访日志和自定义跟踪服务名称的反对。还有大量的谬误修复和改良。

• 反对多网络网关的基于主机名的负载均衡器

  • 到目前为止，Istio 始终依赖于晓得东西向配置中两个网络之间应用的负载均衡器的 IP 地址。Amazon EKS 负载均衡器提供主机名而不是 IP 地址，用户必须手动解析此名称并将 IP 地址设置为解决办法。
  • 在 1.13 中，Istio 当初将主动解析网关的主机名，并且 Istio 当初能够主动发现 EKS 上近程集群的网关。

性能更新：

• 在 Istio 1.8 中首次以 Alpha 模式推出的 WorkloadGroup API 性能，在这个版本中曾经晋升为 Beta 版。
• 受权策略的运行模式也从试验版晋升到了 Alpha 版。

CNCF 发表 2021 年云原生调查结果

日前，CNCF 发表了 2021 年云原生调查结果。这项考察曾经进行了 6 年，显示 Kubernetes 的使用率持续增长，达到了有史以来的最高程度，96% 的组织在应用或评估这项技术。Kubernetes 已被大型企业齐全承受，甚至在新兴技术核心也在倒退，比方非洲，73% 的受访者在生产中应用 Kubernetes。

报告的次要后果包含：

• 容器的采纳和 Kubernetes 曾经成为支流——在寰球范畴内的应用曾经回升，特地是在大型组织中。SlashData 报告称，寰球有 560 万开发者应用 Kubernetes，占所有后端开发者的 31%。
• Kubernetes 正在走向“底层”——更多的组织正在利用托管服务和计划平台。CNCF CTO Chris Aniszczyk 示意，人们越来越不了解 Kubernetes 和容器实质上是一个整体。Datadog 报告称，近 90% 的 Kubernetes 用户应用云治理服务，而在 2020 年，这一比例靠近 70%。
• 组织正在堆栈向上挪动——公司正在采纳不太成熟的我的项目来解决更高级的挑战，如监控和通信。例如，依据 New Relic 的数据，监测工具 Prometheus 在 2021 年最初 6 个月的整体使用率增长了 43%。

运行时平安我的项目 Falco 增加可扩大插件框架

云原生运行时平安我的项目 Falco 公布了 0.31.0 版本。此版本引入了一个新的插件零碎，用于为 Falco 定义额定的事件源和事件提取器。插件零碎包含用于简化开发的 SDK，此版本附带一个新的 AWS CloudTrail 插件。

Falco 能够检测并正告进行 Linux 零碎调用的行为。Falco 的规定引擎可能检测应用程序、容器、主机和容器平台内的异样流动。它利用 Linux 内核工具来监督来自内核的零碎调用。能够在应用特定零碎调用、这些调用的参数或调用过程的属性时触发警报。这些规定包含应用特权容器的特权降级、命名空间更改、对出名目录的读 / 写或创立符号链接等行为。

此版本中增加的新插件零碎旨在标准化如何将额定的事件源（称为源插件）增加到 Falco 引擎。除了源插件之外，还能够编写提取器插件，专一于从外围库或其余插件生成的事件中提取字段。只有插件导出所需的性能，简直能够用任何语言编写插件。然而，插件开发的首选语言是 Go，其次是 C++，并为这两种语言公布了 SDK，以简化插件开发。

Grafana 8.3.6 公布

日前，Grafana 8.3.6 公布。Grafana 是一个功能丰富的指标规范仪表板和图形编辑器，用于剖析和监控 Graphite、Elasticsearch、OpenTSDB、Prometheus 和 InfluxDB。

该版本新个性及改良如下：

• Cloud Monitoring：列出标签时缩小申请大小
• Explore: 在表格中显示标量数据后果（此前是在图标中）
• Snapshots: 更新内部快照服务器的默认 URL
• Table: 使页脚不重叠表内容
• Tempo: 向服务图数据链增加申请直方图
• Tempo: 将工夫范畴增加到性能标记前面的速度搜寻查问
• Tempo: 更改查问类型时，主动革除以后查问后果
• Tempo: 将搜寻后果中的“开始工夫”显示为绝对工夫

Bug 修复：

• Cloud Monitoring: 修复查问编辑器中的资源标签
• Cursor sync: 利用设置时不保留仪表板
• LibraryPanels: 修复了清理库面板时呈现的谬误
• Logs Panel: 修复没有时区的字符串日期的工夫戳解析
• Prometheus: 修复一些应用 reduce/math 操作的正告查问
• TablePanel: 修复长期变量无奈在默认数据源上工作的问题
• Text Panel: 修复元素的对齐形式
• Variables: 修复了自援用链接中常量变量的问题

点击查看更新布告。

开源我的项目举荐

ValidKube

ValidKube 是一个在线工具，用来进步 Kubernetes 配置清单的品质，集成了 3 个开源工具，别离对应 3 个不同的性能。

Auto-portforward

如果你测试 Docker 容器时常常会遗记增加 -p 选项，这个工具能够帮到你，它能够主动发现容器须要裸露的端口，并更新转发端口，实现和 docker run -p LOCAL:REMOTE 一样的性能。除了反对 Docker 之外，还反对 kubectl portforward 和 podman。

Kubernetes Volume Autoscaler

对于 Kubernetes 集群管理员来说，当某个利用应用的存储卷容量快被用完时，不得不手动扩充存储卷的容量，如果有成千上万个利用，将会十分苦楚。Kubernetes Volume Autoscaler 这个我的项目蕴含一个 Kubernetes 控制器，它会在存储卷快被用完时主动减少其容量，反对任何 Kubernetes 集群和云提供商。

文章举荐

应用 Cilium 和 eBPF 检测容器逃逸

通过这篇文章，你能够理解到一个可能拜访 Kubernetes 集群的攻击者如何从容器中逃逸，大抵步骤如下：

• 运行一个 Pod 以取得 root 权限
• 逃逸到宿主机中
• 用隐形 Pod 和 fileless 执行来继续攻打

在 K8s 中疾速部署应用 GitLab 并构建 DevOps 我的项目

对于开源社区的小伙伴而言，通过 GitLab 社区版以及 KubeSphere 平台提供的 DevOps 能力，其实也能够本人尝试搭建一套相似的 DevOps 平台来一起感受一下 Kubernetes 时代下 GitOps 体系的魅力。这篇文章将和大家一起入手来实际一下在 KubeSphere 部署 GitLab CE（Community Edition 社区版）并构建与之联动的 DevOps 我的项目。

Kubernetes 备份容灾服务产品体验教程

Kubernetes 集群天生自带自愈性能，然而往往有些意外状况使自愈性能不起作用，如果没有好的备份工具及定时备份的习惯，不论对于开发环境还是生产环境来说无疑都是灾难性的，如果这个时候有一个可视化备份工具敌对的帮忙集群做定时备份，你的工作会事倍功半。

本文由博客一文多发平台 OpenWrite 公布！