做者 | 孙健波、汪萌海、陈有坤、李鹏html
CNCF 宣布 TUF(The update Framework)项目正式毕业,成为继 Kubernetes、Premetheus、Envoy、CoreDNS、containerd、Fluentd Jaeger 以及 Vitess 以后,第九个正式毕业的项目。TUF 是一项用于保护软件更新系统的开源安全技术,也是从云原生计算基金会毕业的第一个以规范与安全性为重点的项目。与此同时,TUF 仍是首个源自高校的 CNCF 毕业项目。git
解决方案github
增长用于 Node 协做的租约,该提案主要解决的是多个组件对 Node 均有操做,加锁独占的问题,好比在线 debug Node 问题的时候,又好比 Node 更新系统起做用的时候,不但愿 Node 快照备份系统起做用。算法
rktlet 是基于容器运行时 rkt 项目的 CRI(Container Runtime Interface) 实现,相似 kubelet,随着 rkt 项目退出 CNCF,rktlet 也无人维护,现在正式被移出。数据库
在 Knative 中,RevisionTemplateSpec 像 PodSpec 的一个子集,只实现了部分功能。为了保持 Knative 的简易性,哪些字段须要加,哪些字段不须要加,文档中列出了一些条件。另外针对运维角色,有些字段不是面向开发的,但 K8s 都把字段暴露出来了,K8s 这样作不意味着 Knative 也须要这样作,能够把它做为一个 Configmap 的配置值或者新增运维的 CRD。segmentfault
在事件系统中,事件生产者和消费者一般不直接通讯。在许多状况下,都涉及充当事件总线的消息中间件。经过这种方式,能够对事件进行集中管理,消费者和生产者能够发出和订阅哪些内容,而且能够设置过滤器或策略。所以,引入了事件域的定义。安全
Istio CNI 竞争问题是指在经过使用 Istio CNI 插件配置容器网络安装 iptables 规则时,可能会遇到应用程序的 pod 在 Istio CNI 配置完成以前就启动,致使出现没有配置 iptables 规则的应用程序 pod 出现,这会致使安全问题,由于能够绕开全部的 Istio 策略检查。网络
社区讨论了可能在 Istio1.5 中提供的短时间方案,并提出长期方案是但愿 K8s 提供标准方法:在节点调度 Pod 以前,确保关键守护程序已经准备好;若是关键守护程序失败,请污染节点。后续将与 K8s 社区继续讨论。框架
基于OAM(开放应用模型)的 Go 语言 SDK,SDK 中包含了 OAM Spec 的解析和 Controller 框架,能够快速构建 OAM 的实现,快速对接标准应用模型。less
Vault 是 HashiCorp公司(旗下还有Vagrant,Terraform,Consul 等知名产品)维护的开源软件,它的设计思想基于云原生背景下动态基础设施的特色,在云上的不一样网络层以及不一样的服务之间已经很难找到传统的信任边界,服务之间更增强调以身份(identity)为核心的认证和访问控制,而不是像传统静态基础设施中以 IP、主机地址做为信任凭证(与 K8s 对接)。
kube-score 是 K8s 对象静态检查工具,经过分析 K8s 对象的 Yaml 文件作一些推荐,以提高可靠性和安全性。
InfoQ 国际总站发表文章《阿里巴巴视角下的开放应用模型》,详细讲述了 OAM 的由来以及阿里巴巴在 K8s 应用管理上的实践。
使用 Vault 在 Kubernetes 体系中提供动态数据库鉴权信息,文中针对云原生场景下 Pod 生命周期短、变化快等问题,Vault 提供了一系列 Policy 解决动态鉴权信息注入的问题。
在 Kubernetes 上 debug DNS 问题的指南。
本文介绍了蚂蚁金服和阿里巴巴集团场景下对 Sidecar 容器的各类使用方式。
从 2008 年基于内核 cgroup 的 LXC 诞生至今,现代 Linux 的容器化已逾 10 年,前后有基于 cgroup/namespace 的进程隔离容器技术、基于 CPU 硬件指令集的虚拟化技术,以及经过重写内核功能实现的用户空间内核容器技术纷纷登场,各有千秋。
StackRox 的联合创始人,首席技术官Ali Golshan 对 2020 年技术发展作了一些预测,这些预测涉及 Kubernetes 和服务网格技术的增加。
“ 阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践,作最懂云原生开发者的技术圈。”