云原生生态周报 Vol. 3 | Java 8 ❤️ Docker

业界要闻
Docker Hub遭入侵，19万帐号被泄露 : 4月25日Docker官方邮件曝露，由于Hub的一个数据库收到非受权访问，影响了约19万用户的用户名和哈希后的密码，以及用户自动构建的Github和Bitbucket Token。Docker公司建议用户修改其登陆密码。若是您在公有云上的应用依赖于来自 Docker Hub的镜像，咱们强烈建议您登陆容器服务控制台更新相应的docker login信息或kubernetes secret。此外，阿里云容器镜像服务企业版提供网络访问控制、独享OSS Bucket加密存储等安全加固功能，最大程度保障您的镜像仓库的安全。
Java 8 终于开始提供良好的容器支持：长久以来，容器 和 Java 就像一对“欢喜冤家”。一方面，容器技术的“不可变基础设施”特性为开发者带来了无比宝贵的依赖与环境一致性保证；但另外一方面， Linux 容器经过 Cgroups 对应用进行资源限制的方式跟全部依赖于 JVM 进行资源分配的编程语言都产生了本质的冲突。而就在上周，最近发布的OpenJDK 镜像 openjdk:8u212-jdk 终于可以让 Java 8 运行时在容器里面为应用分配出合理的 CPU 数目和堆栈大小了。自此，发布 Java 容器应用的痛苦经历，可能要一去不复返了。
Snyk 年度安全报告出炉，容器安全问题形势空前严峻：知名开源安全厂商 Snyk 在年初发布了 2019 年度安全报告。报告中指出：“随着容器技术在2019年继续在IT环境中爆发式增加，针对容器安全的威胁正在迅猛增长，任何一家企业如今都必须比以往更加剧视容器镜像安全，并将此做为企业的首要任务”。报告详情，请点击此处查看全文。
上游重要进展
Kubernetes 项目

Kubernetes 集群联邦 v1（Federation v1） 正式宣布废弃。K8s 社区近日宣布将 Federation v1 代码库正式废弃。Federation v1 即 Kubernetes 项目原“集群联邦”特性，旨在经过一个统一的入口管理多个 Kubernetes 集群。可是，这个特性逐步被设计成了在多个 Kubernetes 集群之上构建一个 “Federation 层”的方式来实现，从而背离了 Kubernetes 项目的设计初衷。最终，在 RedHat、CoreOS、Google 等多位社区成员的推进下，社区开始全面拥抱 Federation v2：一个彻底旁路控制、以 K8s API 为核心的多集群管理方案。
Kubernetes 1.15 进入发布节奏 K8s 1.15 发布进入日程，5 月30 日即将 Code Freeze（即：不接受任何功能性 PR）。
[KEP] Ephemeral Containers KEP 合并，进入编码阶段。
Ephemeral container 旨在经过在 Pod 里启动一个临时容器的方式，来为用户提供对Pod和容器应用进行debug和trouble shooting的能力。这种经过“容器设计模式”而非 SSH 等传统手段解决运维难题的思路，对于“不可变基础设施”的重要性不言而喻，阿里巴巴在“全站云化”过程当中也采用了一样的设计来解决相似问题。在上游完成该功能的编码实现后，会经过 kubectl debug 命令方便用户直接使用。
Knative 项目

Knative 逐步弃用原 Build 项目。按照计划，Tektoncd/Pipeline 子项目已经在 v0.2.0 时移除了对 Build 的依赖。最近，Knative Serving v1beta1 也移除了对 Build 的依赖，目前，社区已经开始制定弃用 Build 的确切方式并通知到 knative 开发者社区。
knative 正在考虑为事件触发（Trigger）引入更高级的规则和策略。 社区正在就 Advanced Filtering 设计一个 提案。该提案提议基于 CEL （Google 维护的一种表达式语言）来进行事件的过滤。具体来讲，Trigger 的 filter 字段会增长一个 Spec 字段，而后在 Spec 字段下使用 CEL 语法完成对事件的过滤规则定义。
Istio/Envoy 项目

Istio 1.1.4本周正式发布，其中一个重要的功能是更改了Pilot的默认行为，对出口流量的控制变化。除了以前经过Service Entry与配置特定范围IP段来支持访问外部服务，新版本中经过设置环境变量PILOT_ENABLE_FALLTHROUGH_ROUTE容许Envoy代理将请求传递给未在网格内部配置的服务。更多能够参考Istio流量管理实践系列文章。
Envoy正经过ORCA改善负载均衡的精准度。
目前Envoy能够用于进行负载均衡决策的信息主要是权重和链接数等信息，为了能让Envoy的负载均衡更加精准须要为Envoy提供更多的决策因素。好比本地和远程机器的负载状况、CPU、内存等信息，更复杂的还能够利用应用程序特定的指标信息来进行决策，好比队列长度。而ORCA的目的是定义Envoy和上游代理之间传递这些信息的标准。该功能的提出者但愿ORCA能够成为Universal Data Plane API (UDPA)。
Envoy正引入RPC去代替共享内存机制以便提升统计模块的的扩展性。
Envoy当下经过共享内存的方式来保存stats数据的这种方式存在不少局限性，好比须要限制stats使用固定的内存大小，当有大量集群的时候没办法扩展。这给他升级stats子系统的架构带来了很多的阻碍。所以他但愿能够经过将stats数据以堆内存的方式来保存，而后经过RPC在新老进程中传递。
Envoy正在xDS协议中增长VHDS协议减少动态路由信息的更新粒度。
现状是，Envoy中的路由配置是经过RDS来动态更新的，可是RDS的粒度太粗了，包含了一个Listener下全部的路由配置信息。因为一个Listener下面可能会有多个服务，每个服务对应一个Virtual Host，所以在更新路由的时候，若是只是其中一个Virtual Host更新了，那么会致使全部的路由配置都从新下发而致使通信负荷偏重。引入VHDS就是为了只下发变化的路由信息，从而将更新的路由配置信息量缩小。
Containerd 项目

Non-root用户运行 containerd： 近日，社区正在尝试实现无需root权限就能够运行containerd的能力。在这种场景下，用户能够提早准备好容器所须要的 rootfs ，可是 containerd 服务端在清理容器时依然会尝试去 unmount rootfs，对于没有 root 权限的 containerd 进程而言，该步骤一定会失败（mount 操做必需要有 root 权限）。目前 Pivotal 的工程师正在解决这个问题，这种 non-root 模式能够为解决云上安全问题提供新的思路，
开源项目推荐
本周，咱们向您推荐 kubeCDN 项目。
kubeCDN 项目是一个基于Kubernetes 实现的自托管 CDN 方案，只要将它部署在分布在不一样地域（Region） 的 Kubernetes 集群上，你就拥有了一个跨地域进行内容分发的 CDN 网络。而更重要的是，经过 kubeCDN，用户再也不须要第三方的内容分发网络，从而从新控制了本来就属于本身的从服务器到用户设备的数据流。kubeCDN 目前只是一个我的项目，可是这里体现出来的思想确实相当重要的：在不久的将来，每一朵云、每个数据中内心都会布满 Kubernetes 项目，这将会成为将来云时代基础设施的“第一假设”。 推荐你阅读 InfoQ 的解读文章来进一步了解 kubeCND。
本周阅读推荐
《Knative 入门——构建基于Kubernetes的现代化Serviceless应用》中文版，这是一本O’Reilly 出品的免费电子书，已经由 servicemesher 社区组织完成翻译。提供 在线阅读 和 PDF下载
信通院发起的云原生产业联盟出具《云原生技术实践白皮书》，白皮书系统性地梳理了云原生概念、关键技术、应用场景、发展趋势及实践案例。PDF连接
《阿里云 PB 级 Kubernetes 日志平台建设实践》Kubernetes 近两年来发展十分迅速，已经成为容器编排领域的事实标准，可是 Kubernetes 中日志采集相对困难。本文来自InfoQ记者的采访，文中谈及了如何让使用者专一在“分析”上，远离琐碎的工做。
《Istio Observability with Go, gRPC, and Protocol Buffers-based Microservices》，这是一篇很长的博文，介绍能够与Istio相适配的观测性组件，用实际的例子演示了如何对以Go语言、Protobuf和gRPC为基础的微服务框架进行全面的观测。若是你还对Prometheus、Grafana、Jaeger和Kiali这几个组件感到既熟悉又陌生，而且好奇如何把它们组合在一块儿使用来提高微服务的可观测性，这个博客的内容应该会对你颇有帮助。
《云原生的新思考：为何说容器已经无处不在了？》这篇文章在对云原生技术总结的同时，对将来应用趋势走向进行了展望。“云原生不但能够很好的支持互联网应用，也在深入影响着新的计算架构、新的智能数据应用。以容器、服务网格、微服务、Serverless 为表明的云原生技术，带来一种全新的方式来构建应用。”
名词解释：KEP - Kubernetes Enhancement Proposal， 即 Kubernetes 上游设计文档