雲原生愛好者週刊:Dockershim 即將被正式廢棄

語言: CN / TW / HK

雲原生一週動態要聞:

  • Dockershim 即將被正式廢棄

  • Dapr v1.5 釋出

  • 警告:攻擊者利用 SonarQube 漏洞盜取原始碼

  • OpenELB 進入 CNCF Sandbox

  • 開源專案推薦

  • 文章推薦

雲原生動態

Dockershim 即將被正式廢棄

日前,Kubernetes 宣佈將從 Kubernetes 程式碼庫中刪除 dockershim,取而代之的是支援直接使用為 Kubernetes 建立的容器執行時介面的執行時。

目前的計劃是 dockershim 將在 Kubernetes 1.24 版本中刪除,該版本定於明年 4 月左右釋出。對於那些開發或執行 alpha 和 beta 版本的人,dockershim 將在 12 月 1.24 版本開發週期開始時刪除。

Kubernetes 正在通過 調查 [1] 收集意見,以更好地瞭解使用者應對廢棄 dockershim 的準備情況。此調查將瞭解使用者當前使用的 Kubernetes 版本,以及使用者預計何時會採用 Kubernetes 1.24。有關 dockershim 廢棄準備情況的所有彙總資訊將會發布。

Kubernetes 是一個成熟的專案。這種棄用是努力擺脫永久性測試版功能並提供更多穩定性和相容性保證的又一步。廢棄 dockershim,使用者將獲得更多的靈活性和容器執行時功能的選擇,以及應用程式對特定底層技術的更少依賴。請花時間檢視 dockershim 遷移文件 [2] ,並諮詢 Kubernetes 託管供應商(如果有的話)有哪些容器執行時可使用。

詳情見 [3]

Dapr v1.5 釋出

日前,Dapr v1.5 釋出,這是自 Dapr v1.0 釋出以來的第五次小版本更新。

該版本有以下亮點:

  • 元件升級為 Stable 狀態

  • 用於狀態管理的查詢 API

  • 配置 API 構建塊

  • Go SDK 中的 Actor

  • Actors 可靠性改進

  • 支援 ARM64 MAC(預覽版)

  • 新增 components

詳情見 [4]

:point_right: 警告:攻擊者利用 SonarQube 漏洞盜取國內多個機構的大量原始碼

2021 年 10 月 22 日,國外知名媒體 cybernews 發文稱,有未知攻擊者攻擊並滲透了博世 iSite 的伺服器,並盜取了這家制造業巨頭的 5G 物聯網連線平臺的原始碼。攻擊者聲稱通過利用 SonarQube 的零日漏洞獲取了這些原始碼,並提供了詳細的入侵過程截圖和盜取到的原始碼檔案截圖。

遭殃的不止是這一家公司,攻擊者 25 號聲稱梅賽德斯-賓士中國部門的部分原始碼也被他們竊取了。26 號,攻擊者又拿到了中國公安系統的醫療平臺、保險和人事的 SRC 原始碼。

目前攻擊是否還在繼續,我們無法得知,已知的就是攻擊者利用了 SonarQube 的零日漏洞進行入侵,而且攻擊的都是我國的機構和企業。

目前該漏洞 (CNVD-2021-84502) 已被收錄進了國家資訊保安漏洞共享平臺 (CNVD),並公開了漏洞細節。

:point_right: OpenELB 進入 CNCF Sandbox

11 月 10 日,雲原生計算基金會 (CNCF) 宣佈由青雲科技 KubeSphere 團隊開源的負載均衡器外掛 OpenELB 正式進入 CNCF 沙箱(Sandbox)託管。

OpenELB 專案在此前命名為 PorterLB,是為物理機(Bare-metal)、邊緣(Edge)和私有化環境設計的負載均衡器外掛,可作為 Kubernetes、K3s、KubeSphere 的 LB 外掛對叢集外暴露 “LoadBalancer” 型別的服務,核心功能包括:

  • 基於 BGP 與 Layer 2 模式的負載均衡

  • 基於路由器 ECMP 的負載均衡

  • IP 地址池管理管理

  • 使用 CRD 進行 BGP 配置

開源專案推薦

Krustlet [5]

Krustlet 是一個用來在 Kubernetes 上原生執行 WebAssembly 工作負載的 Kubelet,使用 Rust 語言開發。它會監聽 Kubernetes API,以獲取新的 Pod 請求,一旦 Pod 被排程到該節點,該節點的 Krustlet 就會執行 WebAssembly 工作負載。使用者必須為應用程式生成 WebAssembly 二進位制檔案,並推送到容器映象倉庫。

Rover [6]

Rover 是一個 Terraform 視覺化工具,它通過解析你的 Terraform 配置檔案來生成視覺化介面。

composerize [7]

composerize 是一個 CLI 工具,可以將 docker run 命令轉換為 docker-compose 配置清單。

除了 CLI 之外還提供了一個視覺化介面。

kube-lineage [8]

kube-lineage 是一個 kubectl 外掛,用來展示 Kubernetes 叢集資源的所有依賴資源或附屬資源。例如:

$ kube-lineage pod coredns-5cc79d4bf5-xgvkc --dependencies
NAMESPACE NAME READY STATUS AGE
kube-system Pod/coredns-5cc79d4bf5-xgvkc 1/1 Running 30m
├── Node/k3d-server True KubeletReady 30m
├── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system ├── ConfigMap/coredns - 30m
kube-system ├── ReplicaSet/coredns-5cc79d4bf5 1/1 30m
kube-system │ └── Deployment/coredns 1/1 30m
kube-system ├── Secret/coredns-token-6vsx4 - 30m
kube-system │ └── ServiceAccount/coredns - 30m
│ ├── ClusterRoleBinding/system:basic-user - 30m
│ │ └── ClusterRole/system:basic-user - 30m
│ ├── ClusterRoleBinding/system:coredns - 30m
│ │ └── ClusterRole/system:coredns - 30m
│ ├── ClusterRoleBinding/system:discovery - 30m
│ │ └── ClusterRole/system:discovery - 30m
│ ├── ClusterRoleBinding/system:public-info-viewer - 30m
│ │ └── ClusterRole/system:public-info-viewer - 30m
kube-system │ └── RoleBinding/system-unrestricted-svc-acct-psp-rolebinding - 30m
│ └── ClusterRole/system-unrestricted-psp-role - 30m
│ └── PodSecurityPolicy/system-unrestricted-psp - 30m
kube-system └── ServiceAccount/coredns - 30m

dstp [9]

dstp 是一個 CLI 工具,用來對網站進行常規的網路測試。

文章推薦

Kubernetes 是如何驗證自定義資源的 [10]

Kubernetes 除了內建 API 之外,還可以通過 CRD 建立自定義資源,API Server 在自定義資源執行之前是感知不到它的存在的,所以在執行之前對自定義資源進行驗證就顯得尤為重要。本文花了很長的篇幅通過原始碼來解析 API Server 對自定義資源的驗證過程。

使用 Istio 實現 OIDC 身份驗證 [11]

Istio 除了核心功能外,還支援通過 Envoy 來擴充套件配置。本文介紹瞭如何通過 Istio 的擴充套件配置為服務網格內的應用配置 OpenID Connect (OIDC) 認證流程,以便將認證和授權都解除安裝給 Istio。

引用連結

[1]

調查: https://forms.gle/svCJmhvTv78jGdSx8

[2]

dockershim 遷移文件: https://kubernetes.io/docs/tasks/administer-cluster/migrating-from-dockershim/

[3]

詳情見: https://kubernetes.io/blog/2021/11/12/are-you-ready-for-dockershim-removal/

[4]

詳情見: https://blog.dapr.io/posts/2021/11/12/dapr-v1.5-is-now-available/

[5]

Krustlet: https://github.com/krustlet/krustlet/

[6]

Rover: https://github.com/im2nguyen/rover

[7]

composerize: https://github.com/magicmark/composerize

[8]

kube-lineage: https://github.com/tohjustin/kube-lineage

[9]

dstp: https://github.com/ycd/dstp

[10]

Kubernetes 是如何驗證自定義資源的: https://danielmangum.com/posts/how-kubernetes-validates-custom-resources/

[11]

使用 Istio 實現 OIDC 身份驗證: https://www.jetstack.io/blog/istio-oidc/

關於 KubeSphere

KubeSphere (https://kubesphere.io)是在 Kubernetes 之上構建的 開源容器混合雲 ,提供全棧的 IT 自動化運維的能力,簡化企業的 DevOps 工作流。

KubeSphere 已被  Aqara 智慧家居、愛立信、本來生活、東軟、華雲、新浪、三一重工、華夏銀行、四川航空、國藥集團、微眾銀行、 杭州數跑科技、 紫金保險、去哪兒網、中通、中國人民銀行、中國銀行、 中國人保壽險、中國太平保險、中國移動、中國電信、天翼雲、 中移金科、Radore、ZaloPay  等海內外數千家企業採用。KubeSphere 提供了開發者友好的嚮導式操作介面和豐富的企業級功能,包括  Kubernetes   多雲與多叢集管理、DevOps (CI/CD)、應用生命週期管理、邊緣計算、微服務治理 (Service Mesh)、多租戶管理、可觀測性、儲存與網路管理、GPU support  等功能,幫助企業快速構建一個強大和功能豐富的容器雲平臺。

 :sparkles: GitHub :https://github.com/kubesphere

 :computer: 官網(中國站) :https://kubesphere.com.cn

:man:‍:computer:‍  微信群: 請搜尋新增群助手微訊號  kubesphere