業界要聞

1.CNCF 公布 Kubernetes 的安全審計報告

報告收集了社區對 Kubernetes、CoreDNS、Envoy、Prometheus 等項目的安全問題反饋，包含從一般弱點到關鍵漏洞。報告幫項目維護人員解決已識別的漏洞，並給出了一系列最佳實踐。

2.技術監督委員會（TOC）投票決定將 rkt 項目歸檔

儘管 rkt 在 2014 年 12 月創建最初很受歡迎，並在 2017 年 3 月貢獻給 CNCF，但其採納程度已嚴重下降，很多用戶已經從 rkt 轉向了如 containerd、CRI-O 等其它項目。

上游重要進展

Kubernetes 項目

1.支持 readonly 的介面指定不同的網卡； https://github.com/kubernetes/enhancements/issues/1208

2.在 Kubectl 中進行 pod 問題定位分析；
https://github.com/kubernetes/enhancements/pull/1204/files
https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190212-ephemeral-containers.md#alternatives

方式：在運行時對已有的 pod，新增一個 ephemeral container 掛載到這個 pod 的 spec 下面，然後 status 中也會有一個 EphemeralContainers 的 debug 容器信息：

• a. Debug Container Naming
• b. Container Namespace Targeting：shared process namespace
• c. Interactive Troubleshooting and Automatic Attaching:

官方舉例了4個場景：

• a. Operations：不需要預先在容器中安裝診斷工具（更小的鏡像）；
• b. Debugging：當原有容器 hang 的時候，exec 是執行不了的；
• c. Automation：安全人員對指定範圍的 pod 進行審計能力；
• d. Technical Support: 多租集群的自動診斷工具，不需要 node 的 admin 許可權。

另外，kubectl 支持 namespace 切換的插件 https://github.com/kubernetes/sample-cli-plugin

3.Memory Manager for NUMA awareness https://github.com/kubernetes/enhancements/pull/1203  計劃在 kubelet 中新增組件 Memroy Manager 用於支持內存和 hugepage 的 numa-awareness；https://github.com/kubernetes/sample-cli-plugin

4.kustomize 成為 kubectl 的子命令。 https://github.com/kubernetes/enhancements/blob/master/keps/sig-cli/kustomize-subcommand-integration.md

Istio 項目

Netflix 安全團隊聯合 Google、CERT/CC 向互聯網披露了 HTTP/2 協議在被各個中間件服務實現過程中出現的  DDoS (分散式-拒絕服務攻擊)漏洞的問題，這些攻擊大多在 HTTP/2 傳輸層進行。

Envoy 及 Istio 確認受此影響，阿里雲 Istio on ACK 已針對此次漏洞情況及時發布更新，並針對 Istio 部署、刪除及升級進行了優化處理、提供了完整的控制台支持 Istio 網關的管理以及與虛擬服務的綁定，使用控制台可以完全支持開發一個完整的 Istio 應用，具體詳見 https://cs.console.aliyun.com/#/k8s/istio/lifecycle。

Knative 項目

knative v0.8.0 發布，一些新的特性包括：

• Target Burst Capacity (TBC) support: 服務可以支持的最大請求量；可以應對突發流量到達的時候避免大量的請求排隊；
• service/route: Route 只有從 istio ingress 可訪問，才上報為 ready；
• queue-proxy sidecar 會執行配置的 readiness 健康探測和默認的 tcp 檢查，可以支持 ms 級別的頻率檢查，支持快速縮容到 0: grace period 可以設置為 0。

開源項目推薦

1.kubectl 插件的包管理工具 krew
https://github.com/kubernetes-sigs/krew/
https://github.com/kubernetes-sigs/krew-index

作為 kubectl 的使用者：類似 apt、dnf 和 brew 工具的能力，用於發現新插件、安裝插件、卸載插件和查看已有安裝的插件的能力。

作為 kubectl 的開發者：打包和分發插件到多個平台，讓使用者可以看到。類似 java 的 maven
krew-index 的架構設計 https://github.com/kubernetes-sigs/krew/blob/master/docs/KREW_ARCHITECTURE.md

2.分散式內存文件系統 Alluxio

開源分散式內存文件系統，現在成為開源社區中成長最快的大數據開源項目之一。

其主要特點在於數據存儲與計算的分離，兩部分引擎可以進行獨立的擴展。更多詳情可參考：https://zhuanlan.zhihu.com/p/20624086

本周閱讀推薦

1.《微服務的設計模式》

這是一篇雜燴文，雖然結構比較混亂，但是對微服務相關概念的介紹還是較為全面的。微服務能在企業中發揮積極作用。因此了解微服務架構（MSA）設計的一般目標或原則，以及一些微服務的設計模式，都是很有意義的。

2.《簡單幾招助您加速 ARM 容器應用開發和測試流程》

今年早些時候，Docker 公司與 ARM 公司宣布合作夥伴計劃，為 Docker 的工具優化面向 ARM 平台的開發者體驗。Docker 開發者可以在 x86 桌面端為 ARM 設備構建容器鏡像，並可將容器應用部署至雲端、邊緣以及物聯網設備。整個容器構建流程非常簡單，無需任何交叉編譯步驟。

3.《荷畔微風 - 在函數計算 FunctionCompute 中使用 WebAssembly 》

WebAssembly 是一種新的 W3C 規範，無需插件可以在所有現代瀏覽器中實現近乎原生代碼的性能。同時由於 WebAssembly 運行在輕量級的沙箱虛擬機上，在安全、可移植性上比原生進程更加具備優勢。同時資源消耗小、啟動速度快的特點也非常適合 Serverless 的場景。開發者們開始探索 WebAssembly 在 Serverless 的應用場景。

4. 《正式開放 | 阿里雲10億級鏡像服務正式支持 Helm Charts，雲原生交付再加速！》

Helm Chart 究竟是什麼？相比 YAML 文件，它提出了怎樣的概念，解決了怎樣的問題？如何上手實踐？

5.《數千台伺服器，千萬用戶量：居然之家兩年雲原生改造歷程》

2009 年，居然設計家 (Homestyler) 研發團隊正式成立；如今，十年已過，居然設計家正式更名為躺平設計家，用戶量近千萬。在兩年多的雲原生實踐改造過程中，整個團隊經歷了從運維數千台伺服器再到全部交付給雲，從探索上雲到利用 Serverless 和 Service Mesh 完成雲原生改造，最終整體可用性達到三個 9 以上，同時 IT 費用削減了近一半，本文分享了躺平設計家的雲原生實踐歷程。

本周報由阿里巴巴容器平台聯合螞蟻金服共同發布

本文作者：木蘇、元毅、進超、王夕寧

責任編輯：木環