作者 | 王思宇、陳潔、敖小劍

業界要聞

1. Falco 進入 CNCF Incubator 項目

原于 2018 年 8 月進入 sandbox，旨在 Kubernetes 運行時環境下支持配置規則來加強應用安全性、降低風險。

1. Kubernetes v1.17.1 發布

解決部分 cloud provider 和 kubelet 相關問題，比如：

• kubelet 更新 Pod ready status 失敗
• kubelet 清理 Pod volumes 發生 panic

1. CFP 2020 K8s Contributor Summit Amsterdam 開始征集 talk

將與 KubeCon 2020 EU 同期進行，歡迎 K8s contributor 參會。

1. Istio 1.14.3 發布

Istio 發布 1.4.3 版本，此版本修復看一些 bug 以提高系統魯棒性和用戶體驗。

上游重要進展

Kubenetes

1. LoadBalancer Service 支持多種不同 protocol 類型的 port

目前一個 LoadBalancer Service 可以寫多個 port，但是這些 port 的類型必須相同，比如都是 tcp 或 udp。這個 PR 允許在一個 LoadBalancer Service 中定義多種不同類型的 port，以支持不同云廠商提供的 service 服務。（ 對應的 PR）

1. 解決組件特定 ComponentConfig 的配置問題

ComponentConfig 是支持編寫 Kubernetes-style 的配置文件，來給各種 Kubernetes 核心組件作為啟動配置，而不是直接通過命令行參數的方式配置，這個 KEP 是為了解決在編寫 ComponentConfig 的時候不同組件的特定配置問題。

1. device manager 中增加 release api 接口

在 Kubelet devicemanager 中增加 release 接口，支持 device plugin 釋放已經分配給 Pod 的設備。

type Manager interface {
    // ...
    // Release release devices allocated to pods.
    Release(pod *v1.Pod) error
}

1. PDB status 中新增 conditions

conditions 用于上報當前 PDB 的一些狀態信息，比如 PodDisruptionBudgetFailure（Failure），用于 disruption controller 在 failSafe 階段上報狀態標識。

type PodDisruptionBudgetStatus struct {
    // ...
    // Conditions represents the latest available observations of a PDB's current state.
    // +patchMergeKey=type
    // +patchStrategy=merge
    Conditions []PodDisruptionBudgetCondition
}

Istio

1. 為Telemetry V2 開啟 TCP 元數據交換

Telemetry V2 依靠對等代理之間的元數據交換，以便它們可以在不依賴于 side lookup 的情況下產生豐富的遙測信息。 Istio 1.4 使用 “x-envoy-peer-metadata” http header 來支持 http 流量的元數據交換。Istio 1.5 將支持 TCP 流量的元數據交換，該提案目前已經得到批準。

1. 在 AuthorizationPolicy 實現 deny 和 exclude

Istioi 社區提出更改 AuthorizationPolicy 的 API，以支持拒絕 (deny) 和排除 (exclude) 語義。目標包括支持通過使用 AuthorizationPolicy 來拒絕請求，并支持在 AuthorizationPolicy 中使用否定匹配 (not_XXX)。用戶無需復制或修改其現有策略即可使用新功能。

1. 可驗證的自定義屬性

在 SPIFFE 標識（service account 和 namespace）之外，允許客戶在 Istio 授權中創建和使用可驗證的自定義屬性。當前這個提案還處于早期階段，討論動機和用例，收集反饋，尚未開始設計。

開源項目推薦

1. Flux

一個面向 GitOps 流程的 operator（CNCF sandbox 項目），支持監聽 Git 變化并自動觸發一系列打包部署等操作。

1. Kubeless

符合原生 Kubernetes 模式的 serverless framework。安裝部署之后，只需要提交自己寫的 code 以及依賴給 kubeless cli，由 kubeless 負責部署運行。

本周閱讀推薦

1. 《Manage Thousands of Clusters with GitOps and the Cluster API》

Weaveworks 團隊如何通過 GitOps 和 Cluster API 來管理數千個 Kubernetes 集群。其中 GitOps 正是使用了上面開源項目推薦中介紹的 Flux 工具，來把 GitOps 鏈路打通，并結合 Cluster API 組成了 GitOps 模式的多集群管理。

1. 《Vault replication across multiple datacenters on Kubernetes》

本文介紹了基于 Kubernetes 之上，如何管理跨多個數據中心的 Vault 集群。

1. 《Kubernetes Networking Demystified - A Brief Guide》

本文從一次網絡連接開始，介紹了 Kubernetes 中各類網絡鏈路和配置，包括 Service、Load balancer、kube-proxy、Pod 網絡等，推薦對 Kubernetes 網絡機制感興趣的同學閱讀。

1. 《從零開始入門 K8s | GPU 管理和 Device Plugin 工作機制》

本文主要介紹 K8s 中 GPU 管理方式、如何為容器配置 GPU，以及對應的 Extended Resource 和 Device Plugin的工作原理。

1. 《K8s 實踐 | 如何解決多租 戶集群的安全隔離問題？》

如何解決多租戶集群的安全隔離問題是企業上云的一個關鍵問題，本文主要介紹了 Kubernetes 多租戶集群的基本概念和常見應用形態，以及在企業內部共享集群的業務場景下，基于 Kubernetes 原生和 ACK 集群現有安全管理能力快速實現多租戶集群的相關方案。

云原生實踐峰會即將開幕

“ 阿里巴巴云原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦云原生流行技術趨勢、云原生大規模的落地實踐，做最懂云原生開發者的公眾號。”