K8S 生态周报| TUF 正式从 CNCF 毕业

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。

TUF 正式从 CNCF 毕业

本周 The Update Framework (TUF) 正式从 CNCF 毕业，如今 TUF 的官方 Python 实现有 954 个 star ，142 个 fork 以及 43 位贡献者和 3525 次 commit 记录。

TUF 是从 CNCF 正式毕业的第 9 个项目，没记错的话也是至今为止惟一一个 star 数未上千就正式毕业的项目。不过 TUF 项目自己与其余项目不一样，star 数也说明不了项目状态。

可能很多人以为 TUF 项目的存在感很低，或是没有了解或使用过 TUF 项目，我姑且对它作一点介绍。

TUF 项目大概是十年前启动，并于 2017 年开始托管于 CNCF，它的主要目标正如它的名字通常，提供用于更新的框架，但它更重要的点在于它的安全性设计上。

它充分考虑到了各个环节可能出现的攻击，在提供更新功能的同时，也能够很好的保护现有程序或者是验证待更新版本的安全和可靠性。你可能想问它是如何作到这一点的，其实它主要是提供了一套标准规范，并在各个环节中增长了更多的元数据和相关的检查，包括签名信息，文件 hash ，元数据签名和过时时间等。

至于它的存在感嘛，不知道你是否有使用过 Docker Content Trust(DCT) 相关的功能，简单来讲你能够看成就是 docker trust 所涉及到的相关功能，这其中的部分功能是构建在 Docker Notary 之上的，而 Docker Notary 则是使用 TUF 做为其基础安全框架的。(PS：Docker Inc 也已经将 Docker Notary 捐献给了 CNCF)

如今多数公有云（好比 IBM，Azure 等）提供可信镜像仓库服务时，基本也都间接的依赖于 Docker Notary 和 TUF 了，这也是 TUF 被普遍使用的方面。 除了容器生态外，一些语言的包管理器也都在探索基于 TUF 实现其安全更新，包括 Python 的 pip, Haskell 的 hackage 以及 OCaml 的 opam 等。

不过相关扩展内容不是本篇的重点，暂且跳过。最后再次恭喜 TUF 顺利毕业！

Linkerd v2.6.1 发布

Linkerd 本周发布了 v2.6.1 版本，这是一个很是小的 bugfix 版本。在这里提到是由于这个小版本主要是改善 Proxy 的稳定性，经过修复了 Proxy 可能中止接收服务发现更新，致使 503 的 bug 。

对此问题感兴趣的朋友能够参考 linkerd2-proxy 的更新记录。

上游进展

Kubernetes v1.17 已经发布了，如今上游也进入了 v1.18 的开发阶段，本周发布了 v1.18.0-alpha.1 , 其中有个颇有用的变动。

kubectl drain 在 --dry-run 的时候，能够显示会驱逐掉的 pod 信息了。 示例以下：

# kubectl v1.18.0-alpha.1
(MoeLove) ➜  bin ./kubectl.v1.18  drain --dry-run=true  10.19.47.253 
node/10.19.47.253 cordoned (dry run)
evicting pod infra/redis-7c647bfd97-fdk2r (dry run)
evicting pod kube-system/coredns-65b546d87d-6jmfp (dry run)
evicting pod kube-system/coredns-65b546d87d-pwqvh (dry run)
node/10.19.47.253 drained (dry run)
复制代码

而以前版本中是没有展现被驱逐 pod 信息的：

# kubectl below v1.18.0-alpha.1
(MoeLove) ➜  bin ./kubectl.v1.17  drain --dry-run=true  10.19.47.253                                   
node/10.19.47.253 cordoned (dry run)
node/10.19.47.253 drained (dry run)
复制代码

---

能够经过下面二维码订阅个人文章公众号【MoeLove】，在公众号后台回复 k8s 可加入技术圈交流。