云原生爱好者周刊:Dockershim 即将被正式废弃

语言: CN / TW / HK

云原生一周动态要闻:

  • Dockershim 即将被正式废弃

  • Dapr v1.5 发布

  • 警告:攻击者利用 SonarQube 漏洞盗取源码

  • OpenELB 进入 CNCF Sandbox

  • 开源项目推荐

  • 文章推荐

云原生动态

Dockershim 即将被正式废弃

日前,Kubernetes 宣布将从 Kubernetes 代码库中删除 dockershim,取而代之的是支持直接使用为 Kubernetes 创建的容器运行时接口的运行时。

目前的计划是 dockershim 将在 Kubernetes 1.24 版本中删除,该版本定于明年 4 月左右发布。对于那些开发或运行 alpha 和 beta 版本的人,dockershim 将在 12 月 1.24 版本开发周期开始时删除。

Kubernetes 正在通过 调查 [1] 收集意见,以更好地了解用户应对废弃 dockershim 的准备情况。此调查将了解用户当前使用的 Kubernetes 版本,以及用户预计何时会采用 Kubernetes 1.24。有关 dockershim 废弃准备情况的所有汇总信息将会发布。

Kubernetes 是一个成熟的项目。这种弃用是努力摆脱永久性测试版功能并提供更多稳定性和兼容性保证的又一步。废弃 dockershim,用户将获得更多的灵活性和容器运行时功能的选择,以及应用程序对特定底层技术的更少依赖。请花时间查看 dockershim 迁移文档 [2] ,并咨询 Kubernetes 托管供应商(如果有的话)有哪些容器运行时可使用。

详情见 [3]

Dapr v1.5 发布

日前,Dapr v1.5 发布,这是自 Dapr v1.0 发布以来的第五次小版本更新。

该版本有以下亮点:

  • 组件升级为 Stable 状态

  • 用于状态管理的查询 API

  • 配置 API 构建块

  • Go SDK 中的 Actor

  • Actors 可靠性改进

  • 支持 ARM64 MAC(预览版)

  • 新增 components

详情见 [4]

:point_right: 警告:攻击者利用 SonarQube 漏洞盗取国内多个机构的大量源码

2021 年 10 月 22 日,国外知名媒体 cybernews 发文称,有未知攻击者攻击并渗透了博世 iSite 的服务器,并盗取了这家制造业巨头的 5G 物联网连接平台的源代码。攻击者声称通过利用 SonarQube 的零日漏洞获取了这些源代码,并提供了详细的入侵过程截图和盗取到的源代码文件截图。

遭殃的不止是这一家公司,攻击者 25 号声称梅赛德斯-奔驰中国部门的部分源代码也被他们窃取了。26 号,攻击者又拿到了中国公安系统的医疗平台、保险和人事的 SRC 源码。

目前攻击是否还在继续,我们无法得知,已知的就是攻击者利用了 SonarQube 的零日漏洞进行入侵,而且攻击的都是我国的机构和企业。

目前该漏洞 (CNVD-2021-84502) 已被收录进了国家信息安全漏洞共享平台 (CNVD),并公开了漏洞细节。

:point_right: OpenELB 进入 CNCF Sandbox

11 月 10 日,云原生计算基金会 (CNCF) 宣布由青云科技 KubeSphere 团队开源的负载均衡器插件 OpenELB 正式进入 CNCF 沙箱(Sandbox)托管。

OpenELB 项目在此前命名为 PorterLB,是为物理机(Bare-metal)、边缘(Edge)和私有化环境设计的负载均衡器插件,可作为 Kubernetes、K3s、KubeSphere 的 LB 插件对集群外暴露 “LoadBalancer” 类型的服务,核心功能包括:

  • 基于 BGP 与 Layer 2 模式的负载均衡

  • 基于路由器 ECMP 的负载均衡

  • IP 地址池管理管理

  • 使用 CRD 进行 BGP 配置

开源项目推荐

Krustlet [5]

Krustlet 是一个用来在 Kubernetes 上原生运行 WebAssembly 工作负载的 Kubelet,使用 Rust 语言开发。它会监听 Kubernetes API,以获取新的 Pod 请求,一旦 Pod 被调度到该节点,该节点的 Krustlet 就会运行 WebAssembly 工作负载。用户必须为应用程序生成 WebAssembly 二进制文件,并推送到容器镜像仓库。

Rover [6]

Rover 是一个 Terraform 可视化工具,它通过解析你的 Terraform 配置文件来生成可视化界面。

composerize [7]

composerize 是一个 CLI 工具,可以将 docker run 命令转换为 docker-compose 配置清单。

除了 CLI 之外还提供了一个可视化界面。

kube-lineage [8]

kube-lineage 是一个 kubectl 插件,用来展示 Kubernetes 集群资源的所有依赖资源或附属资源。例如:

$ kube-lineage pod coredns-5cc79d4bf5-xgvkc --dependencies
NAMESPACE NAME READY STATUS AGE
kube-system Pod/coredns-5cc79d4bf5-xgvkc 1/1 Running 30m
├── Node/k3d-server True KubeletReady 30m
├── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system ├── ConfigMap/coredns - 30m
kube-system ├── ReplicaSet/coredns-5cc79d4bf5 1/1 30m
kube-system │ └── Deployment/coredns 1/1 30m
kube-system ├── Secret/coredns-token-6vsx4 - 30m
kube-system │ └── ServiceAccount/coredns - 30m
│ ├── ClusterRoleBinding/system:basic-user - 30m
│ │ └── ClusterRole/system:basic-user - 30m
│ ├── ClusterRoleBinding/system:coredns - 30m
│ │ └── ClusterRole/system:coredns - 30m
│ ├── ClusterRoleBinding/system:discovery - 30m
│ │ └── ClusterRole/system:discovery - 30m
│ ├── ClusterRoleBinding/system:public-info-viewer - 30m
│ │ └── ClusterRole/system:public-info-viewer - 30m
kube-system │ └── RoleBinding/system-unrestricted-svc-acct-psp-rolebinding - 30m
│ └── ClusterRole/system-unrestricted-psp-role - 30m
│ └── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system └── ServiceAccount/coredns - 30m

dstp [9]

dstp 是一个 CLI 工具,用来对网站进行常规的网络测试。

文章推荐

Kubernetes 是如何验证自定义资源的 [10]

Kubernetes 除了内置 API 之外,还可以通过 CRD 创建自定义资源,API Server 在自定义资源运行之前是感知不到它的存在的,所以在运行之前对自定义资源进行验证就显得尤为重要。本文花了很长的篇幅通过源码来解析 API Server 对自定义资源的验证过程。

使用 Istio 实现 OIDC 身份验证 [11]

Istio 除了核心功能外,还支持通过 Envoy 来扩展配置。本文介绍了如何通过 Istio 的扩展配置为服务网格内的应用配置 OpenID Connect (OIDC) 认证流程,以便将认证和授权都卸载给 Istio。

引用链接

[1]

调查: https://forms.gle/svCJmhvTv78jGdSx8

[2]

dockershim 迁移文档: https://kubernetes.io/docs/tasks/administer-cluster/migrating-from-dockershim/

[3]

详情见: https://kubernetes.io/blog/2021/11/12/are-you-ready-for-dockershim-removal/

[4]

详情见: https://blog.dapr.io/posts/2021/11/12/dapr-v1.5-is-now-available/

[5]

Krustlet: https://github.com/krustlet/krustlet/

[6]

Rover: https://github.com/im2nguyen/rover

[7]

composerize: https://github.com/magicmark/composerize

[8]

kube-lineage: https://github.com/tohjustin/kube-lineage

[9]

dstp: https://github.com/ycd/dstp

[10]

Kubernetes 是如何验证自定义资源的: https://danielmangum.com/posts/how-kubernetes-validates-custom-resources/

[11]

使用 Istio 实现 OIDC 身份验证: https://www.jetstack.io/blog/istio-oidc/

关于 KubeSphere

KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的 开源容器混合云 ,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。

KubeSphere 已被  Aqara 智能家居、爱立信、本来生活、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、 杭州数跑科技、 紫金保险、去哪儿网、中通、中国人民银行、中国银行、 中国人保寿险、中国太平保险、中国移动、中国电信、天翼云、 中移金科、Radore、ZaloPay  等海内外数千家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括  Kubernetes   多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support  等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。

 :sparkles: GitHub :https://github.com/kubesphere

 :computer: 官网(中国站) :https://kubesphere.com.cn

:man:‍:computer:‍  微信群: 请搜索添加群助手微信号  kubesphere