云计算安全+

2019年3月容器技术及安全动态


发布时间 2019-05-14  


1. Kubernetes 1.14发布



新版本由31项增强功能组成,具体包括:10项稳定版功能,12项beta测试功能,以及7项全新功能。此次版本的核心主题在于可扩展性,以及在Kubernetes上支持更多工作负载。本轮共有三项主要功能迎来通用版本,另有一项重要安全功能步入beta测试阶段。


对Windows节点的生产级支持


在此之前,Kubernetes当中的Windows节点一直处于beta测试阶段,旨在允许众多用户以实验性方式体验Kubernetes for Windows容器的实际价值。如今,Kubernetes开始正式支持将Windows节点添加为工作节点并部署Windows容器,从而确保庞大的Windows应用程序生态系统得以利用我们平台提供的强大功能。


本次Kubernetes为Windows容器带来的核心功能特性包括:


支持将Windows Server 2019引入工作节点与容器


支持采用Azure-CNI、 OVN- Kubernetes以及Flannel的树外网络


改进了对Pod、服务类型、工作负载控制器以及指标/配额的支持能力,以便与Linux容器的自有功能实现更为紧密的匹配。


Kubectl更新


Kubectl的说明文档完全重写,其重点在于利用声明性Resource Config实现资源管理。文档目前以独立站点的形式发布,采用电子书格式,并在k8s.io文档中提供对应链接(具体请访问 https://kubectl.docs.kubernetes.io)。


Kustomize的声明性Resource Config创作功能现在可以通过-k标记(适用于apply及get等命令)以及Kustomize子命令在kubectl中获取。Kustomize旨在帮助用户创作及复用包含Kubernetes各原生概念的Resource Config。用户现在能够利用kubectl apply -k dir/将拥有kustomization.yaml的目录适用于集群。此外,用户也可以将定制化Resource Config发送至stdout,而无需通过kubectl kustomize dir/加以应用。这些新的功能被记录在新的说明文档当中,具体请参阅:https://kubect.docs.kubernetes.io。


通过Kubernetes的kustomize repo对Kustomize子命令进行开发。最新的Kustomize功能将以独立的Kustomize二进制文件(发布至kustomize repo)的形式更为频率地发布,且在每一轮Kubernetes发布之前在kubectl中得以更新。


kubectl插件机制逐步趋于稳定:kubectl插件机制允许开发人员将自己的定制化kubectl子命令以独立二进制文件的形式发布出来。这些成果将可帮助kubectl与附加porcelain(例如添加set-ns命令)实现更多新的高级功能。


持久本地卷迎来通用版本


这项功能正逐渐稳定,允许用户将本地连接存储作为持久卷来源。考虑到实际性能与成本要求,分布式文件系统与数据库往往成为持久性本地存储的主要用例。与云服务供应商相比较,本地SSD一般可提供超越远程磁盘的性能水平。而与裸机方案相比,除了性能之外,本地存储通常成本更低,亦是配置分布式文件系统的一项必要条件。


PID限制正转向beta测试阶段


在目前的beta功能中,管理员可以对每个Pod中的PID数量进行预定义,从而实现Pod与Pod间的PID隔离。此外,管理员还可以通过node allocatable为用户Pod保留大量可供分配的PID,即以alpha测试功能的方式实现类似的Pod与Pod间PID隔离。


更多其它值得关注的功能


Pod优先级与抢占机制使得Kubernetes调度程序能够首先调度更为重要的Pod,从而在集群资源不足时删除不太重要的Pod,最终为意义更重大的Pod保留运行空间。具体重要性由优先级机制负责指定。


Pod Readiness Gates能够为Pod的就绪情况提供外部反馈扩展点。


强化默认的RBAC的clusterrolebingdings发现能力,其移除了原本默认可通过未授权访问的API集发现功能,旨在提升CRD隐私性以及默认集群的总体安全水平。



2. Istio 1.1正式发布


新版本注重在企业生产环境的就绪能力,关注的主要方向之一正是性能与可扩展性,以提升数据平面与控制平面的执行效率。测试结果:https://istio.io/docs/concepts/performance-and-scalability/


新版本也完成了命名空间隔离的工作。这使您可以使用Kubernetes命名空间来强制控制边界,并确保您的团队不会相互干扰。


在改进了多集群功能和可用性。我们听取了社区的意见,并改进了交通管制和政策的默认设置。我们引入了一个名为Galley的新组件。Galley负责验证YAML以降低发生配置错误的可能性。另外,Galley还能够在多集群设置当中发挥作用,从各个Kubernetes集群当中收集服务发现信息。再有,我们还支持其它多集群拓扑结构,包括在无需扁平网络的前提下实现单一控制平面与多个同步控制平面。



3. 云原生计算基金会宣布containerd项目正式毕业



时至今日,containerd已经成为阿里云、AWS、Cloud Foundry、Docker、谷歌、IBM、Rancher Labs以及更多生态系统支持方们采用范围最广的容器运行时选项。


云原生计算基金会日前宣布,继Kubernetes、Prometheus、Envoy以及CoreDNS之后,containerd已经成为其第五个毕业项目。事实上,要从孵化阶段一步步发展成熟至毕业水平,这些项目必须表现出活跃的采用度、良好的多样性、规范的治理过程,以及对社区可持续性与包容性的坚定承诺。


诞生于2014年的containerd最初由Docker所打造,旨在为Docker引擎提供低层运行时管理器。而在2017年3月被纳入云原生计算基金会之后,containerd已经逐步发展成一款行业标准性质的容器运行时方案。此项目始终强调简单性、健壮性与可移植性,目前被广泛用作Docker引擎与OCI runc执行器之间的对接层。


为了正式由孵化阶段走向毕业,containerd项目遵循云原生计算基金会提出的基本原则,接受独立的外部安全审计,并确定了自身治理结构[2]以保障社区发展。此外,containerd还获得并保有核心基础设施倡议最佳实践徽章[3](简称CII徽章)。这项成就于2018年9月1日正式达成,CII徽章[4]代表着整个社区对于代码质量与安全最佳实践做出的不懈承诺。


containerd项目背景信息:


containerd 是一套行业标准化容器运行时,强调简单性、健壮性与可移植性。Containerd可作为Linux与Windows系统中的守护程序。


containerd管理其所在主机系统上的整个容器生命周期——从镜像传输到存储、到容器执行与监督,再到底层存储乃至网络附件等等。


containerd项目: https://github.com/containerd/containerd。


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。