全球首个开放应用模型 OAM 开源

业界要闻

全球首个开放应用模型 OAM 开源

2019 年 10 月 17 日，阿里巴巴合伙人、阿里云智能基础产品事业部总经理蒋江伟（花名：小邪）在 Qcon 上海重磅宣布，阿里云与微软联合推出开放应用模型 Open Application Model （OAM）开源项目。OAM 的愿景是以标准化的方式沟通和链接应用开发者、运维人员、应用基础设施，让云原生应用管理与交付变得更加简洁，高效，而且可控。

KubeVirt 进入 CNCF Sandbox

KubeVirt 尽管容器技术提供了各类便利，可是在特定状况下使用 VM 仍然是不可避免的（编者按：VM 只是选择之一，不一样的安全容器解决方案均可以在不一样方面代替单纯的 VM）。来自 Redhat 的 KubeVirt 项目能够提供在 K8s 集群内部准备、部署、运行和管理 VM 的能力，让用户可使用 Pod 同样来使用一个 VM。如今，这个项目已经正式进入了 CNCF 的 Sandbox 了。

Megalix 发布 KubeAdvisor 1.0 版本

KubeAdvisor 日前发布了 1.0 版本。KubeAdvisor 一款辅助 K8s 运维的工具，可以扫描 K8s 集群的资源、状态、配置等，经过提供恰当的“可观测性”（编者按：眼花缭乱的监控数据和曲线图不等于可观测性），为集群使用者提供最有价值的信息，来辅助保障基础设施和上层应用的可靠性和稳定性。

上游重要进展

1.容许动态调整 kube-scheduler 的 log level。kube-scheduler 做为 K8s 重要的默认调度组件，在一些状况下它们的日志能够反映出很多信息，这个 PR 容许 kube-scheduler 的日志打印级别能够动态被调整。

2.调度器方面最近的一个举动是将一些 Prioritizing 的逻辑插件化（Score Plugin）。最近几个相关的PR以下，感兴趣的同窗能够关注。

• BalancedResourceAllocation
• MostRequestedPriority
• LeastResourcePriority

3.为 scheduler 添加一个跟踪 Binding 和 Prioritizing 的 goroutine 数目的 metric。

在大规模应用部署等一些特殊场景中，调度器可能成为总体性能的瓶颈。

4.这里有两个优化 kubeadm 使用体验的 PR：

1. kubeadm 的 structured output：结构化输出 kubeadm 的一些输出信息（yaml、json 等），方便被继续处理；
2. kubeadm 添加 --with-ca flag 来显示 ca 的过时信息：ca 过时是常见的形成组件不可用的愿意之一，有了这个 flag 能够更方便的指导 ca 的过时信息。

5.下面是几个比较重要 / 有意思的 KEP，感兴趣的朋友能够关注一下：

1. 为 Kube API Server 的 network proxy 添加了 beta 版毕业条件。KAS 容许配置 Kube API Server 的网络流量到（或者不到）指定的 proxy；
2. insecure kubelet log：经过一个开关，使得在 kubelet 的 serving cert 过时（kube apiserver 不认识 kubelet）但kube-apiserver 的 client cert 没有过时（kubelet 认识 kube apiserver）的条件下，容许 kubelet 经过跳过 tls 验证返回一些 log。这个功能在测试和debug的场景是有用的。
3. 规范化 conformanece test 的内容的实施（文档、API schema、代码检验、专家知识等）
4. 扩展 NodeRestriction Controller 来限制更多 Node 能够 Pod 进行的操做（主要是来自安全上的考虑）；
5. HPA 的状态达到 implementable

6. 两个计划中的 GA，对于想要参与到 K8s 社区的新手贡献者来讲，这两个 KEP 是不错的切入点（目标、方法很明确的需求）

   1. 根据 Node condition 给 Node 打上 taint 标记，自动化帮助调度器识别出不适合的调度节点；
   2. 以前 DaemonSet 的调度逻辑是在 DaemonSet controller 中的，这个 KEP 但愿把调度逻辑移动到调度器中实现。

开源项目推荐

VMware-Tanzu

VMware 已经开始全面支持 K8s，最近该公司在开源方面的一个举措是将几个本身拥有的云原生开源项目迁移到了新的 Organization：VMware-Tanzu。这个项目中目前包括下面几个项目：

• velero：应用迁移工具
• octant：一个集群状态展现的 dashboard
• sonobuoy：一个 K8s 分析工具
• ······

k8s-transmogrifier

K8s 1.16 中废弃了大量的 API，影响到不少的已经用于生产的集群配置和 Helm chart 等。这里有一个自动转换 K8s 1.16 中的 depreciated 的 API 的工具，有须要的人能够了解一下。

本周阅读推荐

1.《阿里巴巴的研发模式是如何演进的？》

随着云计算的不断发展，不少开发者都对这一技术将为开发方式带来的变化充满兴趣，云计算解决的是从 CAPEX 到 OPEX 的转变问题。云能够带来哪些切实的好处？在云环境下应该怎么作应用架构？基于从传统架构到云架构的亲身经历，阿里巴巴合伙人、阿里云智能基础产品事业部总经理蒋江伟（小邪）阐述了企业由新架构和新研发模式带来的价值点。本文整理自正在召开的 QCon 上海 2019 蒋江伟（小邪）的演讲内容。

2.《How Zalando manages 140+ Kubernetes Cluster》

本文介绍了 Zalando 的团队在（公有云上）管理数量棒庞大的 K8s 集群中获得的一些实践经验，例如每一个 domain 或者 production community 老是部署双集群（prod & non-prod）、使用 Github 托管配置文件、经过 CLM（Cluster Lifecycle Manager）管理升级等等。

3.《Liveness Probes are Dangerous》

Liveness Probe 和 Readiness Probe 是 K8s 中判断应用是否可用的重要工具，然而不正确的使用 Liveness Probe 或者 Readiness Probe 会带来的风险（例如不当心使用了外部依赖、Liveness Probe 有时候反而会阻止 Pod 正确的进入失败状态从而没法完全恢复健康等），这篇文章总结了使用这二者的最佳实践。

4.《A Practical Guide to Setting Kubernetes Requests and Limits》

Kubernetes 资源定义中的 request 和 limit 是老生常谈的问题了，本文除了更好的解释这些概念意外，还从 SLA 的角度提供了如何配置它们的建议。

5.《Protecting Kubernetes API Against CVE-2019-11253 (Billion Laughs Attack) and Other Vulnerabilities》

本文经过介绍 K8s 中的一个可能致使 billions laughs attacks 漏洞的例子，讲解了在生产环境中使用 K8s 的常规安全操做，包括正确配置 RBAC、按期检查 Role 和 RoleBinding、永远不要暴露 Master host 的地址等等。

6.《基于 Knative Serverless 技术实现天气服务-下篇》

上一期咱们介绍了如何基于 Knative Serverless 技术实现天气服务-上篇，本篇文章咱们介绍如何经过表格存储提供的通道服务，实现 Knative 对接表格存储事件源，订阅并经过钉钉发送天气提醒通知。关于 Knative 更多精彩文章请看 《Knative 系列文章》。

---

本文做者：临石、元毅、冬岛、衷源、天元

原文连接

本文为云栖社区原创内容，未经容许不得转载。