关于云计算:云原生爱好者周刊美国国家安全局发布网络安全指南

58次阅读

共计 4878 个字符,预计需要花费 13 分钟才能阅读完成。

云原生一周动静要闻:

  • Knative 成为 CNCF 孵化我的项目
  • Podman 公布 v4.0.0
  • Aeraki Mesh 退出 CNCF 云原生全景图
  • Argo 公布 fuzzing 报告
  • Platform9 公布云原生企业趋势报告
  • 要害的 GitLab 破绽可能容许攻击者窃取运行者的注册令牌
  • 开源我的项目举荐
  • 文章举荐

美国国家安全局(NSA)又来啦😅,上次公布的是《Kubernetes 平安加固指南》,这次公布的是 《网络基础设施平安指南》,涵盖了网络设计、设施明码治理、近程登录治理、安全更新、密钥替换算法,以及 NTP、SSH、HTTP 和 SNMP 等重要协定,为所有组织提供了无关如何爱护其 IT 网络基础设施免受网络攻击的最新倡议。

关注公众号:KubeSphere 云原生

后盾回复暗号 网络 即可获取该指南!

云原生动静

Knative 成为 CNCF 孵化我的项目

日前,CNCF 技术监督委员会(TOC)已投票决定承受 Knative 作为 CNCF 的孵化我的项目。

Knative 是一个基于 Kubernetes 的开源平台,用于构建、部署和治理无服务器和事件驱动的应用程序。它帮忙开发团队以一种须要较少技术常识和工夫的形式治理、监督和操作 Kubernetes。

Knative 由谷歌于 2018 年创立,随后与 IBM、Red Hat、VMWare 和 SAP 密切合作开发。该我的项目自成立以来,得益于社区中 1800 多名不同集体的单干和奉献。

该我的项目在 2021 年 11 月达到了 1.0 版本,这意味着它的所有仓库都由社区指定为稳固且适宜商业应用。它目前的版本是 1.2,每六周公布一次。

Podman 公布 v4.0.0

日前,Podman v4.0.0 公布。此版本具备 60 多个新性能,重点是彻底重写网络堆栈,以进步性能和性能,但也有许多其余变动,包含改良 Podman 对 Mac 和 Windows 的反对,改良 Pods,超过 50 个谬误的修复,以及更多更多的性能。

以下是该版本的次要变动:

  • 除了现有的 CNI 堆栈之外,Podman 当初还反对基于 Netavak 和 Aardvark 的新网络堆栈。新的堆栈改良了对多个网络中容器的反对、改良的 IPv6 反对和改良的性能。
  • 在 Windows 和 OS X 上反对 Podman 也是重中之重。其中最次要的是反对在主机零碎上装置 Podman API 套接字,容许在主机零碎上应用 Docker Compose 等工具,而不是在 podman 机器虚拟机内。另外,podman 机器当初能够在 Windows 上应用 WSL2 作为后端,大大改善了 Podman 对 Windows 的反对。
  • Podman Pods 曾经增加了许多新性能,以容许在 pod 中的容器之间共享资源。

以上变动只是冰山一角——这个版本还有更多内容,更多信息请见发行阐明。

Aeraki Mesh 退出 CNCF 云原生全景图

近日,Aeraki Mesh 正式进入 CNCF 云原生全景图,位于 Service Mesh 类别下。云原生全景图(CNCF Landscape),旨在帮忙企业和开发人员疾速理解云原生体系的全貌,帮忙用户抉择云原生实际中的失当的软件和工具,因而受到宽广开发者和使用者的关注和器重。

Aeraki Mesh 是 Service Mesh 畛域的一个开源我的项目,解决目前的服务网格我的项目只解决了 HTTP/gRPC 协定,不反对其余开源及公有协定的痛点。

Aeraki Mesh 能够帮忙你在服务网格中治理任何七层协定。目前曾经反对了 Dubbo、Thrit、Redis、Kafka、ZooKeeper 等开源协定。你还能够应用 Aeraki Mesh 提供的 MetaProtocol 协定扩大框架来治理公有协定的七层流量。

Argo 公布 fuzzing 报告

平安是 Argo 我的项目的重中之重。为了进步安全性,来自 Akuity、Red Hat 和 Intuit 的 Argo 保护人员最近与 Ada Logics 单干,参加了一个由 CNCF(云原生计算基金会)委托的我的项目,为 Argo 我的项目建设 Fuzzing(含糊测试)。

Fuzzing 是一种通用技术,用于自动识别可靠性和平安问题。它通常被平安钻研人员用来发现零碎中的破绽,该技术已胜利利用于各种 CNCF 我的项目,如 Kubernetes、Envoy、Helm、Linkerd2-proxy 和 Fluent-bit。fuzzing 的个别办法是应用遗传算法(genetic algorithm)与简单的程序剖析和软件仪器技术相结合,以生成在目标软件中实现高水平代码笼罩的输出。在 Argo 的环境中,这样做的目标是辨认引发各种系统故障的输出,例如解体、恐慌、内存溢出问题和挂起。

这个我的项目建设了一个继续的 fuzzing 基础设施,当初作为我的项目循环工作的一部分运行。共开发了 41 个 fuzzer,发现了 10 个缺点。所有发现的 bug 都已修复(除了在我的项目完结时发现的两个问题),并可在最新的我的项目补丁集中取得。残缺的细节能够在 Argo fuzzing 报告中取得。

Platform9 公布云原生企业趋势报告

Platform9 在 2021 年 12 月 15 日至 2022 年 1 月 8 日期间进行了一项考察,以理解企业如何采纳云原生技术,包含他们的投资和招聘打算,预期的挑战,云锁定的担心等。受访者包含 526 名架构师、DevOps 和云平台工程师、经理和高管,波及 85 个行业和 450 家独特公司。

这份钻研报告 “2022 年云原生企业趋势 ” 具体介绍了从考察和 1:1 访谈中收集到的几个重要见解。一些要害的发现包含:

  • Kubernetes 主导了容器治理。近 85% 的受访者正在应用 Kubernetes 或打算在将来 6 个月内部署它。
  • 云原生招聘依然是一个优先事项。DevOps、云平台工程、云原生开发人员和平安是 2022 年的首要招聘投资。
  • 各地的高管都在寻找切实可行的解决方案,以缩小对供应商的锁定。尽管 61% 的受访者对供应商锁定有高度或中度担心,但 71% 的领有大型部署的高级用户甚至比晚期用户更放心。

要害的 GitLab 破绽可能容许攻击者窃取运行者的注册令牌

该破绽影响从 12.10 到 14.6.4 的所有版本,从 14.7 到 14.7.3 的所有版本,以及从 14.8 到 14.8.1 的所有版本,在 GitLab 的平安布告中发表。

如果被利用,未经受权的用户能够应用疾速操作命令通过信息泄露破绽窃取注册者的注册令牌。

它的 CVSS 评分为 9.6,并已在最新版本中进行了修补:GitLab 社区版 (CE) 和企业版 (EE) 的 14.8.2、14.7.4 和 14.6.5。

开源我的项目举荐

TeslaMate

TeslaMate 是一个自托管的特斯拉日志收集平台,能够将车主的特斯拉行驶数据收集、存储、展现,而且不便地反对 Docker 部署。数据存储在 Postgres 中,监控面板通过 Grafana 来展现。

apko

apko 是一个新型镜像构建工具,用来构建基于 Alpine 的 distroless 镜像。它间接应用 Alpine 的包管理工具 apk 来构建镜像,不须要应用 Dockerfile,只须要提供一个申明式的配置清单。例如:

contents:
  repositories:
    - https://dl-cdn.alpinelinux.org/alpine/edge/main
  keyring:
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-4a6a0840.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-5243ef4b.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-5261cecb.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-6165ee59.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-61666e3f.rsa.pub
  packages:
    - alpine-baselayout
    - nginx

entrypoint:
  type: service-bundle
  services:
    nginx: /usr/sbin/nginx -c /etc/nginx/nginx.conf -g "daemon off;"

local-disk-manager

local-disk-manager 旨在简化治理节点下面的磁盘。它将磁盘形象成一种能够被治理和监控的资源。它自身是一种 Daemonset 对象,集群中每一个节点都会运行该服务,通过该服务检测存在的磁盘并将其转换成相应的资源 LocalDisk。

KoolKits

KoolKits 是一组用于 kubectl 调试性能的镜像,它能够被 kubectl debug 调用,作为 Pod 中的一个容器,与业务容器共享命名空间。Koolkits 为常见的几种语言定制了特定的调试镜像,例如,调试 JVM 容器能够应用 JVM 专属镜像:

$ kubectl debug -it <POD-NAME> --image=lightrun-platform/koolkits/koolkit-jvm --image-pull-policy=Never --target=<DEPLOYMENT-NAME>

调试 Node.js 容器应用 Node.js 专属镜像:

$ kubectl debug -it <POD-NAME> --image=lightrun-platform/koolkits/koolkit-node --image-pull-policy=Never --target=<DEPLOYMENT-NAME>

Awesome Twitter Communities for Engineers

Twitter 去年下半年新增了 Community 版块,相似于社区的概念,能够跟领有独特趣味的人一起发推文。一旦退出一个社区,用户就能够间接向其余成员而不仅仅是他们的关注者发推文。只有社区成员能力点赞或回复其余成员发送的推文。awesome-twitter-communities 收录了工程师们创立的各类社群,有云原生主题、Rust 主题、Webassembly 主题等等,如果你是 Twitter 小白,不晓得你感兴趣的畛域有哪些大佬,不防退出 Community 暗中察看一下。

CodeFever

CodeFever 是完全免费开源的 Git 代码托管服务,反对一行命令装置到本人服务器,没有任何仓库数量、应用数量的限度。如果想搭建本人的 Git 仓库,能够看看这个我的项目。

文章举荐

eBPF 大规模落地的挑战

eBPF 扭转了 Linux 世界的游戏规则,让利用能够平安地与内核进行交互,然而构建与各种 Linux 发行版兼容的应用程序是依然是一项微小的挑战。如果你的用户领有各种 Linux 发行版,不同的内核版本、内核配置以及某些发行版特定的配置,你该怎么做能力确保你的基于 eBPF 的应用程序能在尽可能多的环境下工作?本文给出了这个问题的局部答案。

高危!!Kubernetes 新型容器逃逸破绽预警

容器环境盘根错节,特地是像 Kubernetes 这样的散布式调度平台,每一个环节都有本人的生命周期和攻击面,很容易暴露出平安危险,容器集群管理员必须留神每一处细节的平安问题。总的来说,绝大多数状况下容器的安全性都取决于 Linux 内核的安全性,因而,咱们须要时刻关注任何平安问题,并尽快施行对应的解决方案。

应用 KubeKey 疾速离线部署 K8s 与 KubeSphere

KubeKey(以下简称 KK) 是一个用于部署 Kubernetes 集群的开源轻量级工具。它提供了一种灵便、疾速、便捷的形式来仅装置 Kubernetes/K3s,或同时装置 Kubernetes/K3s 和 KubeSphere,以及其余云原生插件。除此之外,它也是扩大和降级集群的无效工具。本教程应用 KK 2.0.0 作为部署工具来实现 kubesphere 集群在离线环境中的部署,帮忙大家实现离线闪电交付的目标。

本文由博客一文多发平台 OpenWrite 公布!

正文完
 0