雲原生愛好者週刊：你對 K8s 叢集升級有信心嗎？_KubeSphere

開源專案推薦

GoNoGo

在 Kubernetes 叢集中，有多種因素會影響到附加元件的升級成功率，比如某些元件只支援特定的 API 或者特定的 Kubernetes 版本，某些元件廢棄了特定的 annotation。GoNoGo 這個專案可以建立一個關於升級檢查的規範，你可以通過這個規範來檢查要升級的版本，以此來獲得升級成功的自信指數。

wordpress-wasm

這個專案通過 WebAssembly（WASM）和 Emscripten（WebAssembly 的一個開源編譯工具鏈）實現了直接在瀏覽器中執行 Wordpress，無需 PHP 服務。

mirrord

mirrord 可以讓你的本地應用直接對接到 Kubernetes 中，看起來就像是直接執行在 Kubernetes 中一樣，但實際上不需要部署到 Kubernetes 中。提供 VS Code 外掛與 IntelliJ 外掛。

文章推薦

使用 KubeEdge 和 EdgeMesh 實現邊緣複雜網路場景下的節點通訊

KubeEdge 是面向邊緣計算場景、專為邊雲協同設計的業界首個雲原生邊緣計算框架，完整打通了邊緣計算中雲、邊、裝置協同的場景。EdgeMesh 的定位是 KubeEdge 使用者資料面輕量化的通訊元件，完成節點之間網路的 Mesh，為使用者 KubeEdge 叢集中的容器應用提供與 K8s Service 一致的服務發現與流量轉發體驗。本文介紹瞭如何使用 KubeEdge 和 EdgeMesh 實現邊緣複雜網路場景下的節點通訊。

在 KubeSphere 中部署高可用 Redis 叢集

Redis 是在開發過程中經常用到的快取中介軟體，在生產環境中為了考慮穩定性和高可用性一般採用叢集模式的部署。常規部署在虛擬機器上的方式配置繁瑣並且需要手動重啟節點，而使用 K8s 部署有很多優勢，比如安裝便捷，縮擴容方便，穩定高效等等。本文介紹瞭如何在 KubeSphere 中部署高可用 Redis 叢集。

雲原生動態

SPIFFE 和 SPIRE 專案從 CNCF 孵化器畢業

日前，CNCF 宣佈 SPIFFE 和 SPIRE 專案從孵化器畢業。至此，共有 18 個專案畢業。

SPIFFE（面向所有人的安全生產身份框架，Secure Production Identity Framework For Everyone）為現代生產環境中的每個工作負載提供了安全身份，消除了共享機密的需要，併為更高級別的平臺無關安全控制奠定了基礎。SPIRE（SPIFFE 執行時環境， SPIFFE Runtime Environment）是在各種平臺上實現 SPIFFE 規範的程式碼，併為身份的釋出實施多因素證明。

Kubernetes 1.25：應用滾動上線所用的兩個特性進入穩定階段

SIG Apps 宣佈兩個特性在 Kubernetes 1.25 進入穩定階段，即用於 StatefulSet 的 minReadySeconds 以及用於 DaemonSet 的 maxSurge。

當 .spec.updateStrategy 欄位設定為 RollingUpdate 時，你可以設定 minReadySeconds，通過讓每個 Pod 等待一段預期時間來減緩 StatefulSet 的滾動上線。

當 .spec.updateStrategy 欄位設定為 RollingUpdate 時，maxSurge 允許 DaemonSet 工作負載在滾動上線期間在一個節點上運行同一 Pod 的多個例項。這有助於將 DaemonSet 的停機時間降到最低。

CVE-2022-3172：聚合 API 伺服器可能導致客戶端被重定向

在 kube-apiserver 中發現了一個安全問題，該問題允許聚合 API 伺服器將客戶端流量重定向到任何 URL。這可能導致客戶端執行意外操作以及將客戶端的 API 伺服器憑據轉發給第三方。

此問題已被評為中等，並分配了 CVE-2022-3172。

開源威脅檢測工具 Falco 增加了對 Google gVisor 的支援

最新版本的 Falco 引入了對 gVisor 的支援，這是 Google 的應用程式核心，在應用程式和主機作業系統之間提供了一個額外的隔離層。使用 Falco 0.32.1 使用者可以監控來自 gVisor 的安全事件，以檢測威脅和審計容器。

在 0.32.1 版本之前，Falco 無法與 gVisor 沙箱一起使用，因為 gVisor 在使用者空間執行時事件到達底層作業系統之前會對其進行攔截。這阻止了 Falco 通過核心模組或 eBPF 探針監控執行時系統呼叫。

本文由部落格一文多發平臺 OpenWrite 釋出！