本文介绍了 Kubernetes 策略的七个步骤,包括基线、修复标签和注释、迁移到受限制的 Pod Security 标准、压制误报、加入常见加固指南、插入并播放、添加自定义规则以应对未预料的特殊情况。通过实施这些步骤,可以逐步减少配置错误和漏洞的数量,实现认证、合规和长期安全目标。
前几天 Gateway API 宣布在 0.8.0 中支持服务网格[1],这意味着 GAMMA[2](Gateway API for Mesh Management and Administration)有了新进展,虽然目前还是实验阶段。去年 6 月 Gateway API 发布 0.5.0 时,我还写了一篇 SMI 与 Gateway API 的 GAMMA 倡议意味着什么?[3]。如今,SMI 作为 sandbox 项目的年度审查已经 过了几个月仍未提交[4],唏嘘。 废话不多说,我们来看下 0.8.0 下的 Gateway API 如何在 Service Mesh 中工作。
Istio 1.19 发布了,支持 Kubernetes Gateway API,并改进了 Ambient Mesh 部署模型。本次发布还包括安全配置增强和虚拟机和多集群体验的简化。欢迎提供升级过程中的反馈。 我们很高兴地宣布 Istio 1.19 的发布。这是 2023 年的第三个 Istio 发布版本。我们要感谢整个 Istio 社区帮助发布 1.19.0 版本。我们要感谢这个版本的发布经理,Microsoft 的 Kalya Subramanian,DaoCloud 的 Xiaopeng Han,以及 Google 的 Aryan Gupta。发布经理们要特别感谢测试和发布工作组负责人 Eric Van Norman (IBM) 在整个发布周期中的帮助和指导。我们还要感谢 Istio 工作组的维护者和更广泛的 Istio 社区,在发布过程中及时提供反馈、审查、社区测试以及为确保及时发布的所有支持。 Istio 官方支持 Kubernetes 版本 1.25 到 1.28。
我们非常高兴地宣布 Gateway API 的 v0.8.0 版本发布了!通过此版本,Gateway API 对服务网格的支持已达到实验性状态[1]。我们期待您的反馈! 我们特别高兴地宣布,Kuma 2.3+、Linkerd 2.14+ 和 Istio 1.16+ 都是 Gateway API 服务网格支持的完全符合实现。
容器运行时(Container Runtime)是负责管理和执行容器的组件。它负责将容器镜像转化为在主机上运行的实际容器进程,提供镜像管理、容器的生命周期管理、资源隔离、文件系统、网络配置等功能。
本文整理自灵雀云的专家工程师刘梦馨,在《蓝鲸 X DeepFlow 可观测性 Meetup》 中的分享实录,从一个毫无头绪的 K8s DNS 故障出发,分享问题的排查思路,详解排查过程中遇到的 DNS 服务、Alpine 镜像、业务代码逻辑、CNI 插件等各个层面的异常现象。整个排查过程基于 DeepFlow 的持续观测能力,实现了对故障现场的高清还原。刘老师同时也从资深用户的角度,对 DeepFlow Dashboard 提出了宝贵的易用性改善建议。
Kubernetes 的新 sidecar container 特性允许用户在规范中定义辅助容器的行为,以帮助配置、网络、日志和度量收集等方面。这个新功能旨在为多容器 pod 中的 sidecar 容器提供更精细的粒度,使其能够比 initContainer 更好地反映 sidecar 的特定要求,简化常见用法模式并为未来开辟了一些有趣的设计空间。
Kubernetes 作为一项核心技术已成为现代应用程序架构的基础,越来越多的企业使用其作为容器编排系统。Kubernetes 集群经历了 从单 Kubernetes 集群到多 Kubernetes 集群、从多 Kubernetes 集群到 Kubernetes 多集群的演进[1],集群的展现形式不断发生着变化。 为此,Kubernetes 多集群 SIG 提出了 KEP-1645: Multi-Cluster Services API[2](以下简称 MCS API)应对 Kubernetes 多集群带来的挑战,详细内容可以看之前的介绍:认识一下 Kubernetes 多集群服务 API[3] ,这篇要介绍的是多集群服务 DNS。
在过去的文章中,我们曾 追踪过 Kubernetes 中的网络数据包[1],这篇文章将追踪 Kubernetes 中的 DNS 查询。 让我们以在 Pod 中解析 Service 完全限定域名(FQDN) foo.bar.svc.cluster.local 为例。 在开始之前,先回顾下 DNS 的解析流程。
Pod 作为 K8s 中一等公民,其承载了最核心的 Container(s) 的运行。同时,Pod 也是 K8s 中资源调度的最小单位,因此熟悉其初始化过程(包括网络、存储、运行时等)将会使我们更加深入理解 K8s 的容器编排原理,以期更好的服务各类业务。
