云原生一周动态要闻:

  • Knative 成为 CNCF 孵化项目
  • Podman 发布 v4.0.0
  • Aeraki Mesh 参加 CNCF 云原生全景图
  • Argo 发布 fuzzing 陈述
  • Platform9 发布云原生企业趋势陈述
  • 要害的 GitLab 缝隙可能答应进犯者盗取运转者的注册令牌
  • 开源项目引荐
  • 文章引荐

美国国家安全局(NSA)又来啦,上次发布的是《Kubernetes 安全加固攻略》,这次发布的是**《网络基础设施安全攻略》**,涵盖了网络规划、设备密码办理、长途登录办理、安全更新、密钥交流算法,以及 NTP、SSH、HTTP和 SNMP 等重要协议,为一切安排供给了有关如何维护其 IT 网络基础设施免受网络进犯的最新主张。

云原生爱好者周刊:美国国家安全局发布网络安全指南

注重大众号:KubeSphere云原生

后台回复暗号 网络 即可获取该攻略!

云原生动态

Knative 成为 CNCF 孵化项目

日前,CNCF 技能监督委员会(TOC)已投票决定承受 Knative 作为 CNCF 的孵化项目。

Knative 是一个根据 Kubernetes 的开源渠道,用于构建、布置和办理无服务器和事件驱动的应用程序。它协助开发团队以一种需求较少技能知识和时间的方法办理、监督和操作 Kubernetes。

Knative 由谷歌于 2018 年创立,随后与 IBM、Red Hat、VMWare 和 SAP 密切协作开发。该项目自成立以来,得益于社区中 1800 多名不同个人的协作和奉献。

该项目在 2021 年 11 月达到了 1.0 版别,这意味着它的一切库房都由社区指定为稳定且合适商业运用。它现在的版别是 1.2,每六周发布一次。

Podman 发布 v4.0.0

日前,Podman v4.0.0 发布。此版别具有 60 多个新功用,重点是完全重写网络堆栈,以提高功用和功用,但也有许多其他改变,包含改进 Podman 对 Mac 和 Windows 的支撑,改进 Pods,超过 50 个过错的修正,以及更多更多的功用。

以下是该版别的主要改变:

  • 除了现有的 CNI 堆栈之外,Podman 现在还支撑根据 Netavak 和 Aardvark 的新网络堆栈。新的堆栈改进了对多个网络中容器的支撑、改进的 IPv6 支撑和改进的功用。
  • 在 Windows 和 OS X 上支撑 Podman 也是重中之重。其间最主要的是支撑在主机体系上装置 Podman API 套接字,答应在主机体系上运用 Docker Compose 等东西,而不是在 podman 机器虚拟机内。另外,podman 机器现在能够在 Windows 上运用 WSL2 作为后端,大大改进了 Podman 对 Windows 的支撑。
  • Podman Pods 已经添加了许多新功用,以答应在 pod 中的容器之间共享资源。

以上改变仅仅冰山一角——这个版别还有更多内容,更多信息请见发行阐明。

Aeraki Mesh 参加 CNCF 云原生全景图

近来,Aeraki Mesh 正式进入 CNCF 云原生全景图,位于 Service Mesh 类别下。云原生全景图(CNCF Landscape),旨在协助企业和开发人员快速了解云原生体系的全貌,协助用户挑选云原生实践中的恰当的软件和东西,因而受到广阔开发者和运用者的注重和注重。

Aeraki Mesh 是 Service Mesh 范畴的一个开源项目,处理现在的服务网格项目只处理了 HTTP/gRPC 协议,不支撑其他开源及私有协议的痛点。

Aeraki Mesh 能够协助你在服务网格中办理任何七层协议。现在已经支撑了 Dubbo、Thrit、Redis、Kafka、ZooKeeper 等开源协议。你还能够运用 Aeraki Mesh 供给的 MetaProtocol 协议扩展结构来办理私有协议的七层流量。

Argo 发布 fuzzing 陈述

安满是 Argo 项意图重中之重。为了提高安全性,来自 Akuity、Red Hat 和 Intuit 的 Argo 维护人员最近与 Ada Logics 协作,参加了一个由 CNCF(云原生计算基金会)委托的项目,为 Argo 项目建立 Fuzzing(含糊测试)。

Fuzzing 是一种通用技能,用于自动辨认可靠性和安全问题。它通常被安全研究人员用来发现体系中的缝隙,该技能已成功应用于各种 CNCF 项目,如 Kubernetes、Envoy、Helm、Linkerd2-proxy 和 Fluent-bit。fuzzing 的一般方法是运用遗传算法(genetic algorithm)与复杂的程序分析和软件仪器技能相结合,以生成在目标软件中完成高水平代码掩盖的输入。在 Argo 的环境中,这样做的意图是辨认引发各种体系故障的输入,例如溃散、恐慌、内存溢出问题和挂起。

这个项目建立了一个继续的 fuzzing 基础设施,现在作为项目循环作业的一部分运转。共开发了 41 个 fuzzer,发现了 10 个缺陷。一切发现的 bug 都已修正(除了在项目结束时发现的两个问题),并可在最新的项目补丁集中获得。完整的细节能够在 Argo fuzzing 陈述中获得。

Platform9 发布云原生企业趋势陈述

Platform9 在 2021 年 12 月 15 日至 2022 年 1 月 8 日期间进行了一项查询,以了解企业如何采用云原生技能,包含他们的投资和招聘计划,预期的应战,云锁定的担忧等。受访者包含 526 名架构师、DevOps 和云渠道工程师、经理和高管,涉及 85 个行业和 450 家一同公司。

这份研究陈述 “2022 年云原生企业趋势”具体介绍了从查询和 1:1 访谈中搜集到的几个重要见地。一些要害的发现包含:

  • Kubernetes主导了容器办理。近 85% 的受访者正在运用 Kubernetes 或计划在未来 6 个月内布置它。
  • 云原生招聘仍然是一个优先事项。DevOps、云渠道工程、云原生开发人员和安满是 2022 年的首要招聘投资。
  • 各地的高管都在寻找切实可行的处理方案,以削减对供货商的锁定。尽管 61% 的受访者对供货商锁定有高度或中度担忧,但 71% 的具有大型布置的高档用户乃至比早期用户更担心。

要害的 GitLab 缝隙可能答应进犯者盗取运转者的注册令牌

该缝隙影响从 12.10 到 14.6.4 的一切版别,从 14.7 到 14.7.3 的一切版别,以及从 14.8 到 14.8.1 的一切版别,在 GitLab 的安全公告中宣告。

假如被运用,未经授权的用户能够运用快速操作指令经过信息走漏缝隙盗取注册者的注册令牌。

它的 CVSS 评分为 9.6,并已在最新版别中进行了修补:GitLab 社区版 (CE) 和企业版 (EE) 的 14.8.2、14.7.4 和 14.6.5。

开源项目引荐

TeslaMate

TeslaMate 是一个自保管的特斯拉日志搜集渠道,能够将车主的特斯拉行驶数据搜集、存储、展现,而且方便地支撑 Docker 布置。数据存储在 Postgres 中,监控面板经过 Grafana 来展现。

云原生爱好者周刊:美国国家安全局发布网络安全指南

apko

apko 是一个新式镜像构建东西,用来构建根据 Alpine 的 distroless 镜像。它直接运用 Alpine 的包办理东西 apk 来构建镜像,不需求运用 Dockerfile,只需求供给一个声明式的装备清单。例如:

contents:
  repositories:
    - https://dl-cdn.alpinelinux.org/alpine/edge/main
  keyring:
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-4a6a0840.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-5243ef4b.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-5261cecb.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-6165ee59.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-61666e3f.rsa.pub
  packages:
    - alpine-baselayout
    - nginx
entrypoint:
  type: service-bundle
  services:
    nginx: /usr/sbin/nginx -c /etc/nginx/nginx.conf -g "daemon off;"

local-disk-manager

local-disk-manager 旨在简化办理节点上面的磁盘。它将磁盘笼统成一种能够被办理和监控的资源。它本身是一种 Daemonset 目标,集群中每一个节点都会运转该服务,经过该服务检测存在的磁盘并将其转换成相应的资源 LocalDisk。

KoolKits

KoolKits 是一组用于 kubectl 调试功用的镜像,它能够被 kubectl debug 调用,作为 Pod 中的一个容器,与事务容器共享命名空间。Koolkits 为常见的几种言语定制了特定的调试镜像,例如,调试 JVM 容器能够运用 JVM 专属镜像:

$ kubectl debug -it <POD-NAME> --image=lightrun-platform/koolkits/koolkit-jvm --image-pull-policy=Never --target=<DEPLOYMENT-NAME>

调试 Node.js 容器运用 Node.js 专属镜像:

$ kubectl debug -it <POD-NAME> --image=lightrun-platform/koolkits/koolkit-node --image-pull-policy=Never --target=<DEPLOYMENT-NAME>

Awesome Twitter Communities for Engineers

Twitter 上一年下半年新增了 Community 版块,类似于社区的概念,能够跟具有一同兴趣的人一同发推文。一旦参加一个社区,用户就能够直接向其他成员而不仅仅是他们的注重者发推文。只要社区成员才干点赞或回复其他成员发送的推文。awesome-twitter-communities 收录了工程师们创立的各类社群,有云原生主题、Rust 主题、Webassembly 主题等等,假如你是 Twitter 小白,不知道你感兴趣的范畴有哪些大佬,不防参加 Community 暗中调查一下。

云原生爱好者周刊:美国国家安全局发布网络安全指南

CodeFever

CodeFever 是完全免费开源的 Git 代码保管服务,支撑一行指令装置到自己服务器,没有任何库房数量、运用数量的限制。假如想搭建自己的 Git 库房,能够看看这个项目。

云原生爱好者周刊:美国国家安全局发布网络安全指南

文章引荐

eBPF 大规模落地的应战

eBPF 改变了 Linux 国际的游戏规则,让应用能够安全地与内核进行交互,但是构建与各种 Linux 发行版兼容的应用程序是仍然是一项巨大的应战。假如你的用户具有各种 Linux 发行版,不同的内核版别、内核装备以及某些发行版特定的装备,你该怎么做才干保证你的根据 eBPF 的应用程序能在尽可能多的环境下作业?本文给出了这个问题的部分答案。

高危!!Kubernetes 新式容器逃逸缝隙预警

容器环境扑朔迷离,特别是像 Kubernetes 这样的分布式调度渠道,每一个环节都有自己的生命周期和进犯面,很简单暴露出安全风险,容器集群办理员必须注意每一处细节的安全问题。总的来说,绝大多数情况下容器的安全性都取决于 Linux 内核的安全性,因而,我们需求时刻注重任何安全问题,并尽快实施对应的处理方案。

运用 KubeKey 快速离线布置 K8s 与 KubeSphere

KubeKey(以下简称 KK) 是一个用于布置 Kubernetes 集群的开源轻量级东西。它供给了一种灵活、快速、便捷的方法来仅装置 Kubernetes/K3s,或一起装置 Kubernetes/K3s 和 KubeSphere,以及其他云原生插件。除此之外,它也是扩展和升级集群的有用东西。本教程运用 KK 2.0.0 作为布置东西来完成 kubesphere 集群在离线环境中的布置,协助我们完成离线闪电交给的意图。

本文由博客一文多发渠道 OpenWrite 发布!