首页 > 其他分享 >云原生爱好者周刊:你对 K8s 集群升级有信心吗?

云原生爱好者周刊:你对 K8s 集群升级有信心吗?

时间:2022-09-27 12:12:22浏览次数:83  
标签:原生 SPIFFE KubeEdge Kubernetes 爱好者 集群 gVisor K8s Falco

开源项目推荐

GoNoGo

在 Kubernetes 集群中,有多种因素会影响到附加组件的升级成功率,比如某些组件只支持特定的 API 或者特定的 Kubernetes 版本,某些组件废弃了特定的 annotation。GoNoGo 这个项目可以创建一个关于升级检查的规范,你可以通过这个规范来检查要升级的版本,以此来获得升级成功的自信指数。

wordpress-wasm

这个项目通过 WebAssembly(WASM)和 Emscripten(WebAssembly 的一个开源编译工具链)实现了直接在浏览器中运行 Wordpress,无需 PHP 服务。

mirrord

mirrord 可以让你的本地应用直接对接到 Kubernetes 中,看起来就像是直接运行在 Kubernetes 中一样,但实际上不需要部署到 Kubernetes 中。提供 VS Code 插件与 IntelliJ 插件。

文章推荐

使用 KubeEdge 和 EdgeMesh 实现边缘复杂网络场景下的节点通信

KubeEdge 是面向边缘计算场景、专为边云协同设计的业界首个云原生边缘计算框架,完整打通了边缘计算中云、边、设备协同的场景。EdgeMesh 的定位是 KubeEdge 用户数据面轻量化的通讯组件,完成节点之间网络的 Mesh,为用户 KubeEdge 集群中的容器应用提供与 K8s Service 一致的服务发现与流量转发体验。本文介绍了如何使用 KubeEdge 和 EdgeMesh 实现边缘复杂网络场景下的节点通信。

在 KubeSphere 中部署高可用 Redis 集群

Redis 是在开发过程中经常用到的缓存中间件,在生产环境中为了考虑稳定性和高可用性一般采用集群模式的部署。常规部署在虚拟机上的方式配置繁琐并且需要手动重启节点,而使用 K8s 部署有很多优势,比如安装便捷,缩扩容方便,稳定高效等等。本文介绍了如何在 KubeSphere 中部署高可用 Redis 集群。

云原生动态

SPIFFE 和 SPIRE 项目从 CNCF 孵化器毕业

日前,CNCF 宣布 SPIFFE 和 SPIRE 项目从孵化器毕业。至此,共有 18 个项目毕业。

SPIFFE(面向所有人的安全生产身份框架,Secure Production Identity Framework For Everyone)为现代生产环境中的每个工作负载提供了安全身份,消除了共享机密的需要,并为更高级别的平台无关安全控制奠定了基础。SPIRE(SPIFFE 运行时环境, SPIFFE Runtime Environment)是在各种平台上实现 SPIFFE 规范的代码,并为身份的发布实施多因素证明。

Kubernetes 1.25:应用滚动上线所用的两个特性进入稳定阶段

SIG Apps 宣布两个特性在 Kubernetes 1.25 进入稳定阶段,即用于 StatefulSet 的 minReadySeconds 以及用于 DaemonSet 的 maxSurge。

.spec.updateStrategy 字段设置为 RollingUpdate 时, 你可以设置 minReadySeconds, 通过让每个 Pod 等待一段预期时间来减缓 StatefulSet 的滚动上线。

.spec.updateStrategy 字段设置为 RollingUpdate 时,maxSurge 允许 DaemonSet 工作负载在滚动上线期间在一个节点上运行同一 Pod 的多个实例。 这有助于将 DaemonSet 的停机时间降到最低。

CVE-2022-3172:聚合 API 服务器可能导致客户端被重定向

在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API 服务器将客户端流量重定向到任何 URL。这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。

此问题已被评为中等,并分配了 CVE-2022-3172。

开源威胁检测工具 Falco 增加了对 Google gVisor 的支持

最新版本的 Falco 引入了对 gVisor 的支持,这是 Google 的应用程序内核,在应用程序和主机操作系统之间提供了一个额外的隔离层。使用 Falco 0.32.1 用户可以监控来自 gVisor 的安全事件,以检测威胁和审计容器。

在 0.32.1 版本之前,Falco 无法与 gVisor 沙箱一起使用,因为 gVisor 在用户空间运行时事件到达底层操作系统之前会对其进行拦截。这阻止了 Falco 通过内核模块或 eBPF 探针监控运行时系统调用。

本文由博客一文多发平台 OpenWrite 发布!

标签:原生,SPIFFE,KubeEdge,Kubernetes,爱好者,集群,gVisor,K8s,Falco
From: https://www.cnblogs.com/kubesphere/p/16734121.html

相关文章

  • 续(基于外部prometheus监控k8s 集群及k8s应用服务 )
     续:基于外部prometheus监控k8s集群及k8s应用服务 ......
  • [云原生] Kubernetes 应用接入最佳实践
    应用接入最佳实践目标:稳定性,可用性,性能,安全从多维度思考高可用的问题迁移对应用造成的影响JavaConcurrentGCThreadHeapSize线程数不可控Node.js多线程模式......
  • 【云原生】Hadoop HA on k8s 环境部署
    目录一、概述二、开始部署1)添加journalNode编排1、控制器Statefulset2、service2)修改配置1、修改values.yaml2、修改hadoop/templates/hadoop-configmap.yaml3)开始安装4)......
  • 案例分享 生产环境逐步迁移至k8s集群 - pod注册到consul
    #案例分享生产环境逐步迁移至k8s集群-pod注册到consul#项目背景多套业务系统,所有节点注册到consul集群,方便统一管理使用consul的dns功能,所有节点hostname能pin......
  • groovy 调整k8s的副本数定时任务
    目录groovy调整k8s的副本数定时任务groovy调整k8s的副本数定时任务packageplatformnode('ecs_wuhan_docker'){println"${BUILD_URL}console"defwxKey......
  • clickhouse高可用k8s集群搭建
    前提条件安装一个k8s集群安装helm工具1,安装operatorhelmrepoaddckhttps://radondb.github.io/radondb-clickhouse-kubernetes/helmrepoupdatekubectlcreaten......
  • 原生js选取dom
    dom.childElementCount-----该dom的子元素个数;dom.firstElementChild-----该dom的第一个子元素;dom,lastElementChild-----该dom的最后一个子元素;previousElementSibling......
  • 龙湖千丁基于 ACK@Edge 的云原生智慧停车系统架构实践
    作者:蔡佩、刘涛在物联网、大数据、云服务等的快速发展及规模化应用下,今天,大量在日常生活中产生的数据可以被更好地连接和利用,为智能设备的运转提供支持,在推进社会高效协作......
  • K8S入门详细地教程
    Kubernetes详细教程1.Kubernetes介绍1.1应用部署方式演变在部署应用程序的方式上,主要经历了三个时代:传统部署:互联网早期,会直接将应用程序部署在物理机上优点:简单......
  • k8s将dockershim移除之后,如何继续使用docker?
    说说这个前提,就是k8s宣布将dockershim给移除了这么个点 为什么要移除 说白了,就是k8s是想建立标准的,通过的CRI,容器运行的接口,不仅仅可以支持docker,还可以支持其他的......