云原生生态周报 Vol. 15:K8s 安全审计报告发布

2019 年 8 月 22 日

云原生生态周报 Vol. 15:K8s 安全审计报告发布

前言


《云原生生态周报》由阿里云容器平台联合蚂蚁金服共同发布,每周一期。众多一线社区专家与您一起“跟踪动态,读懂社区”,分享云原生社区项目进展、活动发布、精选博客等信息。以下是第十五期云原生生态周报的内容。


业界要闻


  1. CNCF 公布 Kubernetes的安全审计报告,报告收集了社区对 Kubernetes、CoreDNS、Envoy、Prometheus 等项目的安全问题反馈,包含从一般弱点到关键漏洞。报告帮项目维护人员解决已识别的漏洞,并给出了一系列最佳实践

  2. 技术监督委员会(TOC)已投票决定将 rkt 项目归档。尽管rkt 在2014年12月创建后最初很受欢迎,并在2017年3月贡献给CNCF,但其采纳程度已严重下降,很多用户已经从rkt转向了如containerd、CRI-O等其它项目。


上游重要进展


Kubernetes 项目


  • 支持readonly的接口指定不同的网卡


https://github.com/kubernetes/enhancements/issues/1208


  • 在Kubectl中进行pod问题定位分析:


https://github.com/kubernetes/enhancements/pull/1204/files


https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190212-ephemeral-containers.md#alternatives


方式:在运行时对已有的 pod,新增一个 ephemeral container 挂载到这个 pod 的 spec 下面,然后 status 中也会有一个 EphemeralContainers 的 debug 容器信息


a. Debug Container Naming


b. Container Namespace Targeting:shared process namespace


c. Interactive Troubleshooting and Automatic Attaching:


官方举例了 4 个场景:


a. Operations:不需要预先在容器中安装诊断工具(更小的镜像)


b. Debugging:当原有容器 hang 的时候,exec 是执行不了的


c. Automation:安全人员对指定范围的 pod 进行审计能力


d. Technical Support: 多租集群的自动诊断工具,不需要 node 的 admin 权限


另外,kubectl 支持 namespace 切换的插件 https://github.com/kubernetes/sample-cli-plugin



Istio 项目


Netflix 安全团队联合 Google、CERT/CC 向互联网披露了 HTTP/2 协议在被各个中间件服务实现过程中出现的 DDoS(分布式-拒绝服务攻击)漏洞的问题。这些攻击大多在 HTTP/2 传输层进行。Envoy 及 Istio 确认受此影响,阿里云 Istio on ACK 已针对此次漏洞情况及时发布更新,并针对 Istio 部署、删除及升级进行了优化处理、提供了完整的控制台支持 Istio 网关的管理以及与虚拟服务的绑定,使用控制台可以完全支持开发一个完整的 Istio 应用,具体详见https://cs.console.aliyun.com/#/k8s/istio/lifecycle


Knative 项目


knative v0.8.0 发布,一些新的特新包括:


  • Target Burst Capacity (TBC) support: 服务可以支持的最大请求量;可以应对突发流量到达的时候避免大量的请求排队

  • service/route: Route只有从istio ingress可访问,才上报为ready

  • queue-proxy sidecar会执行配置的readiness健康探测和默认的tcp检查,可以支持ms级别的频率检查,支持快速缩容到0: grace period可以设置为0


开源项目推荐


  1. krew用来作为kubectl插件的包管理工具


https://github.com/kubernetes-sigs/krew/


https://github.com/kubernetes-sigs/krew-index


作为 kubectl 的使用者:类似 apt、dnf 和 brew 工具的能力,用于发现新插件、安装插件、卸载插件和查看已有安装的插件的能力。


作为 kubectl 的开发者:打包和分发插件到多个平台,让使用者可以看到。类似 java 的 maven krew-index 的架构设计 :


https://github.com/kubernetes-sigs/krew/blob/master/docs/KREW_ARCHITECTURE.md


  1. 分布式内存文件系统 Alluxio 是开源分布式内存文件系统,现在成为开源社区中成长最快的大数据开源项目之一。其主要特点在于数据存储与计算的分离,两部分引擎可以进行独立的扩展。更多详情可参考:https://zhuanlan.zhihu.com/p/20624086


本周阅读推荐


  1. 微服务的实际模式,这是一篇杂烩文,虽然结构比较混乱,但是对微服务相关概念的介绍还是较为全面的。微服务能在企业中发挥积极作用。因此了解微服务架构(MSA)设计的一般目标或原则,以及一些微服务的设计模式,都是是很有意义的。

  2. 简单几招助您加速 ARM 容器应用开发和测试流程。今年早些时候,Docker公司与ARM公司宣布合作伙伴计划,为Docker的工具优化面向ARM平台的开发者体验。Docker开发者可以在x86桌面端为ARM设备构建容器镜像,并可将容器应用部署至云端、边缘以及物联网设备。整个容器构建流程非常简单,无需任何交叉编译步骤。

  3. 荷畔微风 - 在函数计算FunctionCompute中使用WebAssembly 。WebAssembly 是一种新的W3C规范,无需插件可以在所有现代浏览器中实现近乎原生代码的性能。同时由于 WebAssembly 运行在轻量级的沙箱虚拟机上,在安全、可移植性上比原生进程更加具备优势。同时资源消耗小、启动速度快的特点也非常适合Serverless的场景。开发者们开始探索WebAssembly在Serverless的应用场景。

  4. YAML 模版老去?Helm Chart 或将应用分发事实标准。Helm Chart 究竟是什么?相比 YAML 文件,它提出了怎样的概念,解决了怎样的问题?如何上手实践?

  5. 数千台服务器,千万用户量:居然之家两年云原生改造历程2009 年,居然设计家 (Homestyler) 研发团队正式成立;如今,十年已过,居然设计家正式更名为躺平设计家,用户量近千万。在两年多的云原生实践改造过程中,整个团队经历了从运维数千台服务器再到全部交付给云,从探索上云到利用 Serverless 和 Service Mesh 完成云原生改造,最终整体可用性达到三个 9 以上,同时 IT 费用削减了近一半,本文分享了躺平设计家的云原生实践历程。


本周报由阿里巴巴容器平台联合蚂蚁金服共同发布


本文作者:木苏、元毅、进超、王夕宁


责任编辑:木环


相关阅读


云原生生态周报 Vol. 14:K8s CVE 修复指南


云原生生态周报 Vol. 13 | Forrester 发布企业级容器平台报告


云原生生态周报 Vol. 12 |K8s 1.16 API 重大变更


云原生生态周报 Vol. 11 | K8s 1.16 早知道


云原生生态周报 Vol. 10 | 数据库能否运行在 K8s 当中?


云原生生态周报 Vol. 9 | K8s 1.15 后的性能提升


云原生生态周报 Vol. 8 | Gartner 发布云原生趋势


云原生生态周报 Vol. 7 | Docker 再爆 CVE


云原生生态周报 Vol. 6 | KubeCon EU 亮点汇总


云原生生态周报 Vol. 5 | etcd 性能知多少


云原生生态周报 Vol.4 | Twitter 从 Mesos 全面转向 Kubernetes


云原生生态周报 Vol. 3 | Docker Hub 遭入侵,Java 8 开始提供良好的容器支持


云原生生态周报 Vol. 2 | Godaddy 开源 KES、CNCF 提供免费云原生课程


云原生生态周报 Vol. 1 | Google 发布 Cloud Run,开源项目 Kubecost 让 K8s 花费一目了然


2019 年 8 月 22 日 11:193818

评论

发布
暂无评论
发现更多内容

信创舆情一线--数据安全法草案提请初审

统小信uos

大数据 安全

架构师训练营第4周——学习总结

极客大学架构师训练营 互联网架构模式 互联网架构的演进

愿景集团与聚盛国际达成战略合作共建外汇市场新篇章

Geek_116789

大型互联网应用系统的技术方案和手段

周冬辉

架构师训练营 No.4 周总结

连增申

典型大型互联网应用系统的技术方案和手段

极客大学架构师训练营 第四周作业 互联网应用技术方案 互联网系统架构 互联网系统特点

架构师训练营——第四周总结

jiangnanage

链技术如何提升金融行业安全与互信

CECBC区块链专委会

百度 区块链技术 超级链 探索与实践

极客时间第 0 期架构师训练营第四周总结

2流程序员

「架构师训练营」第 4 周作业 - 一个典型的大型互联网应用系统使用了哪些技术方案和手段,主要解决什么问题

guoguo 👻

极客大学架构师训练营

架构师训练营学习总结——系统架构【第四周】

王海

极客大学架构师训练营

架构师训练营作业 (第四周)

王海

极客大学架构师训练营

写给大忙人看的操作系统(内附思维导图)

cxuan

后端 操作系统

week04

Geek_2e7dd7

西博泰科携手中国电信共同抢占NB-IoT新赛道

Geek_116789

互联系统架构演化史之感

旭东(Frank)

架构 感悟 极客大学架构师训练营

大型互联网应用系统常用技术(持续更新)

2流程序员

架构师训练营第四周作业

张锐

互联网系统架构设计概览

dony.zhang

第四周作业

赵龙

区块链技术打通信用壁垒赋能租赁业务

CECBC区块链专委会

去中心 区块链技术 防篡改 去信任

第三周作业

李白

架构师训练营第 04 周—— 练习

李伟

极客大学架构师训练营

浅谈比特币匿名的意义

CECBC区块链专委会

第四周总结

赵龙

架构师训练营第四周 架构分析

suke

极客大学架构师训练营

第三周总结

李白

「架构师训练营」第 4 周作业

旭东(Frank)

week04 总结

Geek_2e7dd7

来了!Spring Boot从入门到入土的私藏教程,不收藏你就亏了

互联网架构师小马

spring 面试 Java 面试 springboot SpringBoot 2

通用编程风格

顿晓

Java 学习 编程风格

云原生生态周报 Vol. 15:K8s 安全审计报告发布-InfoQ